Ein Sicherheitsforscher deckte einen Bug auf, der es erlaubt, in rund fünf Minuten die echte iCloud E Mail Adresse hinter einem „Hide My Email“ Alias zu ermitteln [4][5][6]. Apple wurde im Juni 2025 informiert, behauptete im März 2026 einen Fix – der jedoch wirkungslos blieb [4][5].

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
Apples „Hide My Email“-Funktion wird als ein zentrales Feature des kostenpflichtigen iCloud+-Abonnements beworben. Es soll Nutzern ermöglichen, einmalige, anonyme E-Mail-Adressen zu generieren, die Nachrichten an das echte Postfach weiterleiten – ohne die wahre Adresse preiszugeben. Doch eine Sicherheitslücke, die bereits vor über einem Jahr entdeckt wurde, macht dieses Versprechen zunichte.
Der Sicherheitsforscher Tyler Murphy, Mitbegründer von EasyOptOuts, entdeckte eine Methode, mit der sich aus einem zufällig generierten „Hide My Email“-Alias die echte iCloud-E-Mail-Adresse des Besitzers zurückverfolgen lässt . In einem Test mit dem Online-Magazin 404 Media gelang es, eine frisch erstellte Alias-Adresse innerhalb von etwa fünf Minuten mit der tatsächlichen Apple-ID-E-Mail zu verknüpfen
. Die Sicherheitslücke betraf alle Arten von generierten Adressen (
@icloud.com und @privaterelay.appleid.com) und funktionierte in Tests angeblich in 100 Prozent der Fälle bei neu angelegten Aliasen .
„Hide My Email“ soll es iCloud+-Abonnenten ermöglichen, sich mit Wegwerf-E-Mail-Adressen bei Diensten anzumelden, ohne die eigene, echte Adresse preiszugeben . Die neu entdeckte Lücke macht diesen Schutz wirkungslos: Jeder, der Zugriff auf eine generierte Alias-Adresse hat – eine Website, ein Datenhändler oder ein Angreifer –, kann die wahre Identität des Nutzers ermitteln. Damit ist der Zweck der Funktion für Privatsphäre-, Anti-Tracking- und Spam-Schutz ausgehebelt
.
@private.icloud.com. Diese ersetzt die bisherige Aufteilung zwischen @icloud.com und @privaterelay.appleid.com Diese Änderung behebt nicht die eigentliche Sicherheitslücke. Im Gegenteil: Sie macht die Funktion aus Sicht von Datenschützern in anderer Hinsicht noch schlechter . Bisher war eine „Hide My Email“-Adresse (z. B.
abc123@icloud.com) nicht von einer normalen privaten iCloud-E-Mail zu unterscheiden. Websites konnten daher nicht erkennen, ob ein Nutzer anonym war . Die neue Domain
@private.icloud.com kennzeichnet jede Adresse eindeutig als Datenschutz-Alias. Für Websites und Dienste ist es dadurch trivial, anonyme Anmeldungen zu blockieren, zu markieren oder abzulehnen . Datenschutzaktivisten bezeichnen dies als einen Schritt, der „die gesamte Ambiguität beseitigt“ und die Funktion für ihren eigentlichen Zweck weniger brauchbar macht
.
Stand 1. Juli 2026 ist die Kern-Sicherheitslücke weiterhin ungepatcht – mehr als ein Jahr nach der ersten Meldung .
Die Tatsache, dass Apple die Rückverfolgungslücke seit über einem Jahr nicht behoben hat – obwohl das Unternehmen im März 2026 einen Patch vorgab –, wirft Fragen zu Apples Sicherheitsprozessen auf. Zweifel werden laut, ob die Privatsphäre-Funktionen von iCloud+ ausreichende technische Aufmerksamkeit erhalten .
Im März 2026 berichteten mehrere Medien, dass Apple dem FBI im Rahmen einer Bedrohungsermittlung die echte iCloud-E-Mail-Adresse hinter einem „Hide My Email“-Alias übergeben hatte . Gerichtsakten zeigten, dass Apple die Identität von mindestens zwei iCloud+-Abonnenten offenlegte, die die Funktion genutzt hatten
. Zwar erlauben Apples Nutzungsbedingungen dies bei rechtmäßigen Anfragen, doch der Vorfall offenbarte, wie viele Informationen Apple kann und wird – einschließlich der Zuordnung zwischen Alias und echtem Konto
. Dies widerspricht dem Werbeversprechen der „anonymen“ E-Mail-Verschleierung und hat das Vertrauen in die Privatsphäre-Funktion weiter geschwächt
.
@private.icloud.com – behebt die Sicherheitslücke nicht und erleichtert es Diensten, anonyme Nutzer zu blockieren Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ein Sicherheitsforscher deckte einen Bug auf, der es erlaubt, in rund fünf Minuten die echte iCloud E Mail Adresse hinter einem „Hide My Email“ Alias zu ermitteln [4][5][6].
Ein Sicherheitsforscher deckte einen Bug auf, der es erlaubt, in rund fünf Minuten die echte iCloud E Mail Adresse hinter einem „Hide My Email“ Alias zu ermitteln [4][5][6]. Apple wurde im Juni 2025 informiert, behauptete im März 2026 einen Fix – der jedoch wirkungslos blieb [4][5].
Als Reaktion kündigte Apple an, neue Alias Adressen auf die Domain @private.icloud.com umzustellen.