Peneliti keamanan Tyler Murphy menemukan bug di fitur Hide My Email Apple pada Juni 2025, tetapi hingga Juli 2026 celah ini belum diperbaiki. Apple hanya mengganti domain alias baru menjadi @private.icloud.com, yang justru memudahkan situs web mendeteksi dan memblokir pendaftaran anonim.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
Fitur Hide My Email milik Apple dipasarkan sebagai cara bagi pelanggan iCloud+ untuk membuat alamat email sekali pakai yang anonim. Alamat ini meneruskan email ke kotak masuk asli tanpa pernah mengungkapkan alamat sesungguhnya. Namun, celah keamanan yang ditemukan lebih dari setahun lalu masih memungkinkan siapa pun yang memiliki akses ke alias tersebut mengetahui alamat iCloud asli pengguna hanya dalam hitungan menit—dan Apple belum benar-benar memperbaikinya .
Peneliti keamanan Tyler Murphy, salah satu pendiri EasyOptOuts, menemukan bug yang memungkinkan penyerang membalikkan rekayasa alamat email iCloud asli pengguna dari alias Hide My Email yang dihasilkan secara acak . Dalam pengujian bersama 404 Media, alamat Hide My Email yang baru dibuat berhasil dilacak kembali ke Apple ID asli pengguna dalam waktu sekitar lima menit
. Kerentanan ini memengaruhi kedua jenis alamat yang dihasilkan—
@icloud.com dan @privaterelay.appleid.com—dan dalam pengujian, metode ini dilaporkan berhasil 100% terhadap alias yang baru dibuat .
Hide My Email adalah fitur unggulan langganan iCloud+ yang menjanjikan pengguna dapat membuat alamat email sekali pakai dan anonim yang meneruskan ke kotak masuk asli tanpa pernah mengekspos alamat sebenarnya . Bug ini sepenuhnya mematahkan janji tersebut: pihak mana pun yang memiliki akses ke alias (situs web, broker data, atau aktor jahat) berpotensi mengetahui email asli pengguna, menggagalkan tujuan fitur untuk privasi, anti-pelacakan, dan pencegahan spam
.
@private.icloud.com, menggantikan pemisahan sebelumnya antara @icloud.com dan @privaterelay.appleid.com Perubahan ini tidak memperbaiki kerentanan yang mendasarinya. Sebaliknya, perubahan ini justru membuat fitur lebih buruk bagi privasi dengan cara yang berbeda . Sebelumnya, alias Hide My Email (misalnya,
abc123@icloud.com) tidak dapat dibedakan dari alamat email iCloud pribadi biasa, sehingga situs web tidak tahu apakah pengguna sedang anonim . Domain baru
@private.icloud.com secara jelas menandai setiap alamat sebagai alias privasi, sehingga situs atau layanan mana pun dengan mudah dapat memblokir, menandai, atau menolak pendaftaran anonim . Para advokat privasi menggambarkan langkah ini sebagai "menghilangkan ambiguitas itu sepenuhnya" dan membuat fitur menjadi kurang berguna untuk tujuan utamanya
.
Hingga 1 Juli 2026, kerentanan inti masih belum ditambal—lebih dari setahun setelah pengungkapan awal .
Fakta bahwa Apple tidak benar-benar memperbaiki kerentanan pelacakan balik selama lebih dari setahun—meskipun mengklaim telah ditambal pada Maret 2026—telah menimbulkan pertanyaan tentang proses respons keamanan Apple dan apakah fitur privasi iCloud+ menerima perhatian teknik yang memadai .
Pada Maret 2026, banyak media melaporkan bahwa Apple memberikan alamat email iCloud asli kepada FBI yang terkait dengan alias Hide My Email selama investigasi ancaman . Dokumen pengadilan menunjukkan Apple menyerahkan identitas setidaknya dua pelanggan iCloud+ yang menggunakan fitur tersebut
. Meskipun ketentuan layanan Apple selalu mengizinkan hal ini untuk permintaan hukum, episode ini mengungkapkan seberapa banyak informasi yang dapat dan akan diserahkan Apple—termasuk pemetaan antara alias dan akun asli
. Hal ini bertentangan dengan kesan pemasaran tentang "penyamaran" email anonim dan semakin mengikis kepercayaan pada klaim privasi fitur tersebut
.
@private.icloud.com—tidak menyelesaikan kerentanan dan justru memudahkan layanan untuk memblokir pengguna anonim Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Peneliti keamanan Tyler Murphy menemukan bug di fitur Hide My Email Apple pada Juni 2025, tetapi hingga Juli 2026 celah ini belum diperbaiki.
Peneliti keamanan Tyler Murphy menemukan bug di fitur Hide My Email Apple pada Juni 2025, tetapi hingga Juli 2026 celah ini belum diperbaiki. Apple hanya mengganti domain alias baru menjadi @private.icloud.com, yang justru memudahkan situs web mendeteksi dan memblokir pendaftaran anonim.