@icloud.com@privaterelay.appleid.comHide My Email is een vlaggenschipfunctie van het iCloud+-abonnement die belooft dat gebruikers wegwerpbare, anonieme e-mailadressen kunnen aanmaken die berichten doorsturen naar hun echte inbox zonder ooit het werkelijke adres bloot te geven . Deze bug verbreekt die belofte volledig: iedere partij met toegang tot een gegenereerd alias (een website, een databroker of een kwaadwillende actor) kan mogelijk het echte e-mailadres van de gebruiker ontdekken, waarmee het doel van de functie voor privacy, anti-tracking en spampreventie teniet wordt gedaan
.
@private.icloud.com, ter vervanging van de eerdere splitsing tussen @icloud.com en @privaterelay.appleid.com Deze wijziging lost het onderliggende lek niet op. In plaats daarvan maakt het de functie op een andere manier slechter voor de privacy . Voorheen was een Hide My Email-alias (bijv.
abc123@icloud.com) niet te onderscheiden van een gewoon persoonlijk iCloud-e-mailadres, waardoor websites niet konden zien of een gebruiker anoniem was . Het nieuwe domein
@private.icloud.com markeert elk adres ondubbelzinnig als privacyalias, waardoor het voor elke website of dienst triviaal wordt om anonieme aanmeldingen te blokkeren, markeren of weigeren . Privacyvoorvechters hebben dit omschreven als een zet die “die ambiguïteit volledig wegneemt” en de functie minder bruikbaar maakt voor het kern Doel
.
Het feit dat Apple het lek dat het echte adres blootlegt al meer dan een jaar niet echt heeft verholpen—ondanks de bewering in maart 2026 dat het was gepatcht—roept vragen op over Apple’s beveiligingsresponsproces en of privacyfuncties van iCloud+ voldoende technische aandacht krijgen .
In maart 2026 berichtten meerdere media dat Apple de FBI het echte iCloud-e-mailadres heeft gegeven dat gekoppeld was aan een Hide My Email-alias tijdens een dreigingsonderzoek . Uit gerechtelijke stukken bleek dat Apple de identiteit van ten minste twee iCloud+-abonnees die de functie gebruikten, heeft overhandigd
. Hoewel Apple’s algemene voorwaarden dit altijd al toestonden bij rechtmatige verzoeken, onthulde de episode hoeveel informatie Apple kan en zal overhandigen—inclusief de koppeling tussen aliassen en echte accounts
. Dit spreekt de marketingindruk van “anoniem” e-mailmaskeren tegen en heeft het vertrouwen in de privacyclaims van de functie verder aangetast
.
@private.icloud.com-domein—lost het lek niet op en maakt het juist gemakkelijker voor diensten om anonieme gebruikers te blokkeren