Уразливість у Hide My Email, виявлена в червні 2025 року, дозволяє зловмисникам розкрити справжню iCloud адресу користувача приблизно за п'ять хвилин. Apple змінила домен анонімних адрес на @private.icloud.com, що не вирішує проблему, але дозволяє сайтам блокувати анонімні реєстрації.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
Функція Apple Hide My Email, яка рекламується як спосіб створення одноразових анонімних адрес для передплатників iCloud+, має критичну вразливість. Виявлена понад рік тому, вона дозволяє будь-кому, хто має доступ до згенерованого псевдоніма, дізнатися справжню адресу електронної пошти користувача. Apple досі не виправила цю помилку .
Дослідник безпеки Тайлер Мерфі (Tyler Murphy), співзасновник EasyOptOuts, виявив баг, який дозволяє зловмиснику відновити справжню адресу iCloud з випадково згенерованого псевдоніма Hide My Email . У тесті, проведеному з виданням 404 Media, щойно створена адреса Hide My Email була успішно пов'язана зі справжньою адресою Apple ID приблизно за п'ять хвилин
. Вразливість зачіпала обидва типи згенерованих адрес —
@icloud.com та @privaterelay.appleid.com — і, за результатами тестування, спрацьовувала у 100% випадків для новостворених псевдонімів .
Hide My Email — це флагманська функція передплати iCloud+, яка обіцяє користувачам можливість створювати одноразові анонімні адреси, що пересилають листи на справжню поштову скриньку, не розкриваючи її . Цей баг повністю знищує цю обіцянку: будь-яка сторона з доступом до згенерованого псевдоніма (вебсайт, брокер даних або зловмисник) може потенційно дізнатися справжню адресу електронної пошти, нівелюючи саму мету функції — захист приватності, протидію відстеженню та спаму
.
@private.icloud.com, який замінює попередній розподіл між @icloud.com та @privaterelay.appleid.com Ця зміна не виправляє основної вразливості. Натомість вона погіршує приватність в інший спосіб . Раніше псевдонім Hide My Email (наприклад,
abc123@icloud.com) був нерозрізненним від звичайної особистої адреси iCloud, тому вебсайти не могли визначити, чи користувач анонімний . Новий домен
@private.icloud.com однозначно позначає кожну адресу як псевдонім приватності, що дозволяє будь-якому вебсайту чи сервісу блокувати, позначати або відмовляти в анонімній реєстрації . Захисники приватності описали цей крок як такий, що "повністю усуває цю неоднозначність" і робить функцію менш придатною для її основного призначення
.
Станом на 1 липня 2026 року основна вразливість залишається невиправленою — вже понад рік після початкового повідомлення .
Той факт, що Apple не виправила вразливість зворотного трасування понад рік — незважаючи на заяву про виправлення у березні 2026 року — викликає питання щодо процесу реагування Apple на загрози безпеці та того, чи приділяється функціям приватності iCloud+ належна інженерна увага .
У березні 2026 року численні видання повідомили, що Apple надала ФБР справжню адресу iCloud, пов'язану з псевдонімом Hide My Email, під час розслідування погроз . Судові документи показали, що Apple розкрила особи щонайменше двох передплатників iCloud+, які використовували цю функцію
. Хоча умови використання Apple завжди дозволяли це за законними запитами, цей інцидент продемонстрував, скільки інформації Apple може та буде передавати, включаючи зв'язок між псевдонімами та реальними акаунтами
. Це суперечить маркетинговому враженню "анонімного" маскування електронної пошти та ще більше підірвало довіру до заяв про приватність цієї функції
.
@private.icloud.com — не вирішує вразливість, а натомість полегшує сервісам блокування анонімних користувачів Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Уразливість у Hide My Email, виявлена в червні 2025 року, дозволяє зловмисникам розкрити справжню iCloud адресу користувача приблизно за п'ять хвилин.
Уразливість у Hide My Email, виявлена в червні 2025 року, дозволяє зловмисникам розкрити справжню iCloud адресу користувача приблизно за п'ять хвилин. Apple змінила домен анонімних адрес на @private.icloud.com, що не вирішує проблему, але дозволяє сайтам блокувати анонімні реєстрації.
Раніше Apple надала ФБР справжні iCloud адреси, приховані за функцією Hide My Email, у ході розслідування, що підриває довіру до приватності сервісу.