@privaterelay.appleid.comHide My Email adalah ciri utama langganan iCloud+ yang menjanjikan pengguna boleh mencipta alamat e-mel pakai buang dan tanpa nama yang akan memajukan mesej ke peti masuk sebenar mereka tanpa pernah mendedahkan alamat sebenar . Kelemahan ini memusnahkan sepenuhnya janji tersebut: mana-mana pihak yang mempunyai akses kepada alias yang dijana (laman web, broker data, atau penjenayah siber) berpotensi untuk menemui alamat e-mel sebenar pengguna, menjejaskan tujuan asal ciri ini untuk privasi, anti-pengesanan, dan pencegahan spam
.
@private.icloud.com, menggantikan pembahagian sebelumnya antara @icloud.com dan @privaterelay.appleid.com Perubahan ini tidak membetulkan kelemahan asas. Sebaliknya, ia menjadikan ciri ini lebih teruk untuk privasi dengan cara yang berbeza . Sebelum ini, alias Hide My Email (contohnya,
abc123@icloud.com) adalah tidak dapat dibezakan daripada alamat e-mel iCloud peribadi biasa, jadi laman web tidak dapat mengetahui sama ada pengguna itu tanpa nama . Domain baharu
@private.icloud.com dengan jelas menandakan setiap alamat sebagai alias privasi, menjadikannya mudah bagi mana-mana laman web atau perkhidmatan untuk menyekat, menandakan, atau menolak pendaftaran tanpa nama . Peguam bela privasi menggambarkan langkah ini sebagai satu yang “menghilangkan sebarang kekaburan” dan menjadikan ciri ini kurang berguna untuk tujuan asalnya
.
Sehingga 1 Julai 2026, kelemahan utama masih belum ditambal — lebih setahun selepas pendedahan awal .
Fakta bahawa Apple tidak membetulkan kelemahan pengesanan semula ini selama lebih setahun—walaupun mendakwa ia telah ditambal pada Mac 2026—telah menimbulkan persoalan tentang proses respons keselamatan Apple dan sama ada ciri privasi iCloud+ mendapat perhatian kejuruteraan yang mencukupi .
Pada Mac 2026, pelbagai sumber melaporkan bahawa Apple memberikan FBI alamat e-mel iCloud sebenar yang dikaitkan dengan alias Hide My Email semasa siasatan ancaman . Fail mahkamah menunjukkan Apple menyerahkan identiti sekurang-kurangnya dua pelanggan iCloud+ yang menggunakan ciri ini
. Walaupun terma perkhidmatan Apple sentiasa membenarkan ini untuk permintaan yang sah, episod ini mendedahkan betapa banyak maklumat yang Apple boleh dan akan serahkan—termasuk pemetaan antara alias dan akaun sebenar
. Ini bercanggah dengan tanggapan pemasaran “tanpa nama” penyamaran e-mel dan telah menghakis kepercayaan terhadap tuntutan privasi ciri ini
.
@private.icloud.com—tidak menyelesaikan kelemahan dan sebaliknya memudahkan perkhidmatan menyekat pengguna tanpa nama