@privaterelay.appleid.comHide My Email är en central iCloud+-funktion som lovar att låta användare skapa tillfälliga, anonyma e-postadresser som vidarebefordrar till deras riktiga inkorg utan att någonsin exponera den verkliga adressen . Denna bugg bryter helt det löftet: vem som helst med tillgång till en genererad aliasadress (en webbplats, en datamäklare eller en illvillig aktör) kan potentiellt upptäcka användarens riktiga e-postadress, vilket gör funktionen oanvändbar för integritetsskydd, spårningsskydd och spamförebyggande
.
@private.icloud.com, som ersätter den tidigare uppdelningen mellan @icloud.com och @privaterelay.appleid.com Denna ändring åtgärdar inte den underliggande sårbarheten. Istället gör den funktionen sämre för integriteten på ett annat sätt . Tidigare var ett Hide My Email-alias (t.ex.
abc123@icloud.com) omöjligt att skilja från en vanlig personlig iCloud-e-postadress, så webbplatser kunde inte avgöra om en användare var anonym . Den nya domänen
@private.icloud.com markerar entydigt varje adress som ett privat alias, vilket gör det trivialt för vilken webbplats eller tjänst som helst att blockera, flagga eller vägra anonyma registreringar . Integritetsförespråkare har beskrivit detta som ett drag som ”tar bort all tvetydighet” och gör funktionen mindre användbar för dess ursprungliga syfte
.
Från och med 1 juli 2026 är den grundläggande sårbarheten fortfarande inte åtgärdad – över ett år efter den första rapporten .
Att Apple inte på riktigt har åtgärdat den omvända spårningssårbarheten på över ett år – trots att de påstod att den var åtgärdad i mars 2026 – har väckt frågor om Apples säkerhetsrutiner och om iCloud+:s integritetsfunktioner får tillräcklig teknisk uppmärksamhet .
I mars 2026 rapporterade flera medier att Apple lämnade ut den riktiga iCloud-e-postadressen som var kopplad till ett Hide My Email-alias till FBI i samband med en hotutredning . Domstolshandlingar visade att Apple lämnade ut identiteten på minst två iCloud+-prenumeranter som använt funktionen
. Även om Apples användarvillkor alltid har tillåtit detta vid lagliga förfrågningar, avslöjade episoden hur mycket information Apple kan och kommer att lämna ut – inklusive mappningen mellan alias och riktiga konton
. Detta strider mot det marknadsförda intrycket av ”anonym” e-postmaskering och har ytterligare urholkat förtroendet för funktionens integritetslöften
.
@private.icloud.com – löser inte sårbarheten och gör det istället lättare för tjänster att blockera anonyma användare