Пять минут — и ваш адрес раскрыт. В Hide My Email от Apple нашли уязвимость, которая деанонимизирует пользователей

leer en español

401
Пять минут — и ваш адрес раскрыт. В Hide My Email от Apple нашли уязвимость, которая деанонимизирует пользователей

То, что должно было скрывать пользователя, сработало наоборот.

image

Сервис для маскировки почты должен разрывать связь между человеком и его настоящим адресом, но в Hide My Email от Apple обнаружили уязвимость, которая позволяет раскрыть реальный адрес пользователя.

Проблему нашли специалисты EasyOptOuts и сообщили о ней Apple ещё в июне 2025 года. По данным 404 Media, уязвимость оставалась рабочей на момент публикации новости, когда редакция проверила механизм на собственном скрытом адресе. Издание не раскрывает технические детали, потому что способ всё ещё можно использовать.

Hide My Email входит в платную подписку iCloud+ и создаёт случайные адреса на домене @icloud.com. Пользователь указывает такой адрес при регистрации на сайтах или в переписке, а письма затем пересылаются на настоящую почту. Сервис помогает снизить спам, не раскрывать личный адрес и уменьшить последствия возможной утечки у стороннего сервиса.

В тесте 404 Media журналист создал новый скрытый адрес и передал его Тайлеру Мёрфи, сооснователю EasyOptOuts. Примерно через пять минут Мёрфи назвал настоящий адрес Apple ID, который должен был остаться скрытым. По словам Мёрфи, в ограниченных проверках с добровольцами абсолютно все протестированные адреса Hide My Email удалось связать с реальной почтой.

Apple несколько раз отвечала на сообщение о проблеме. Компания сначала заявила, что изучает уязвимость, затем в марте 2026 года сообщила об исправлении через системное изменение. После повторной проверки Мёрфи сообщил, что раскрытие адресов всё ещё работает. В мае Apple писала, что продолжает расследование, а позже заявила о планах закрыть проблему в одном из ближайших обновлений безопасности.

Ранее мы сообщали, что Apple планирует изменить формат адресов Hide My Email с @icloud.com на @private.icloud.com. Такой шаг может упростить сайтам блокировку регистраций через скрытые адреса, но источник не связывает изменение напрямую с раскрытой уязвимостью.

Пока проблема не закрыта, пользователям Hide My Email лучше не считать скрытый адрес полной защитой личности при регистрации на чувствительных сервисах.