Уязвимость в Apple Hide My Email раскрывает реальные адреса электронной почты
RSSВ сервисе Hide My Email от Apple обнаружена серьёзная уязвимость, которая, как утверждается, позволяет раскрыть настоящий адрес электронной почты, скрытый за сгенерированным псевдонимом. По данным издания 404 Media, Apple знает о проблеме уже больше года, однако до сих пор не устранила её.
Издание не раскрывает технические подробности уязвимости, поскольку она всё ещё остаётся актуальной. При этом журналисты самостоятельно подтвердили её существование, протестировав один из своих адресов Hide My Email. Исследователь, обнаруживший проблему, также провёл серию испытаний с участием добровольцев, в ходе которых уязвимыми оказались все проверенные адреса.
Обнаружил проблему Тайлер Мёрфи, сооснователь сервиса EasyOptOuts. Он сообщил о ней Apple ещё в июне 2025 года, предоставив инструкции по воспроизведению ошибки. Спустя месяц компания подтвердила получение отчёта и начала расследование.
По словам Мёрфи, Hide My Email не выполняет свою основную задачу — скрывать настоящий адрес электронной почты пользователя. Он отметил, что не знает, почему Apple так долго не исправляет проблему, однако считает, что пользователи должны быть предупреждены о возможных рисках.
Опасность усугубляется тем, что в открытом доступе существуют многочисленные сервисы поиска информации о людях, которые способны связать адрес электронной почты с другими персональными данными. В результате пользователи, полагающиеся на Hide My Email для защиты своей конфиденциальности, могут оказаться более уязвимыми, чем предполагают.
В марте 2026 года Apple сообщила исследователю, что проблема была устранена в результате недавних изменений системы. Однако последующая проверка показала, что уязвимость по-прежнему работает. После получения дополнительной информации компания вновь заявила, что продолжает расследование.
В мае Apple попросила Мёрфи не публиковать сведения об уязвимости до завершения проверки. В качестве временной меры исследователь предложил приостановить создание новых адресов Hide My Email, чтобы снизить риски для пользователей, однако признаков того, что Apple воспользовалась этой рекомендацией, нет. В конце мая компания сообщила, что рассчитывает выпустить исправление в одном из обновлений безопасности «в ближайшие недели».
Hide My Email — функция подписки iCloud+, позволяющая создавать случайные адреса электронной почты для регистрации на сайтах и общения с различными сервисами без раскрытия настоящего адреса пользователя. Её основная цель — защита от спама, утечек данных и отслеживания личности.
Примечательно, что месяц назад стало известно ещё об одной особенности сервиса: перенос Hide My Email на отдельный домен private.icloud.com сделал такие адреса более узнаваемыми, что потенциально облегчает их блокировку сайтами и онлайн-сервисами, не желающими принимать псевдонимы iCloud.
