@privaterelay.appleid.comHide My Email er en flaggskipfunksjon i iCloud+-abonnementet som lover å la brukere lage engangs-, anonyme e-postadresser som videresender til den virkelige innboksen uten å avsløre den faktiske adressen . Denne feilen bryter fullstendig løftet: enhver part med tilgang til et generert alias (en nettside, en datamegler eller en ondsinnet aktør) kan potensielt finne brukerens virkelige e-post, noe som opphever funksjonens formål for personvern, sporingsbeskyttelse og spamforebygging
.
@private.icloud.com, som erstatter den tidligere todelingen mellom @icloud.com og @privaterelay.appleid.com Denne endringen fikser ikke den underliggende sårbarheten. I stedet gjør den funksjonen verre for personvernet på en annen måte . Tidligere var et Hide My Email-alias (f.eks.
abc123@icloud.com) umulig å skille fra en vanlig personlig iCloud-e-postadresse, så nettsteder kunne ikke vite om en bruker var anonym . Det nye domenet
@private.icloud.com markerer umiskjennelig hver adresse som et personvernalias, noe som gjør det trivielt for ethvert nettsted eller tjeneste å blokkere, flagge eller nekte anonyme påmeldinger . Personvernforkjempere har beskrevet dette som et grep som «fjerner all tvetydighet» og gjør funksjonen mindre brukbar for det tiltenkte formålet
.
Per 1. juli 2026 er kjernesårbarheten fortsatt ikke lappet – over ett år etter den første rapporteringen .
At Apple ikke har fikset sårbarheten for omvendt sporing på over ett år – til tross for at de hevdet den var lappet i mars 2026 – har reist spørsmål om Apples sikkerhetsresponsprosess og om iCloud+ personvernfunksjoner får tilstrekkelig teknisk oppmerksomhet .
I mars 2026 rapporterte flere medier at Apple ga FBI den virkelige iCloud-e-postadressen knyttet til et Hide My Email-alias under en trusseletterforskning . Rettsdokumenter viste at Apple overlot identiteten til minst to iCloud+-abonnenter som brukte funksjonen
. Selv om Apples vilkår for bruk alltid har tillatt dette ved lovlige forespørsler, avslørte episoden hvor mye informasjon Apple kan og vil utlevere – inkludert koblingen mellom aliaser og virkelige kontoer
. Dette står i kontrast til markedsføringsinntrykket av «anonym» e-postmaskering og har ytterligere svekket tilliten til funksjonens personvernløfter
.
@private.icloud.com – løser ikke sårbarheten og gjør det i stedet enklere for tjenester å blokkere anonyme brukere