Сервис Apple Hide My Email прячет настоящий адрес пользователя за случайными подставными ящиками вроде random.email.22@icloud.com. Им пользуются подписчики iCloud+, чтобы регистрироваться на сайтах и переписываться анонимно. Проблема в том, что исследователи нашли уязвимости, которые позволяют вычислить скрытый адрес.
Apple сообщили об этом больше года назад — 11 июня 2025. Компания признала, что Hide My Email «не предназначен для раскрытия скрытого адреса», и запросила детали. Исследователи отправили воспроизводимый отчёт, а позже нашли ещё одну похожую дыру. Apple подтвердила, что обе уязвимости на рассмотрении.
В марте 2026 года Apple заявила, что всё исправила, и попросила проверить. Проверка показала — ничего не починили. В мае исследователи поняли, что проблема серьёзнее, чем думали изначально, и сообщили об этом снова. Apple не ответила. 30 июня 2026 компания опять объявила об исправлении — и снова безрезультатно.
Пока уязвимости не закрыты, детали эксплойтов не раскрывают — чтобы не навредить пользователям. Исследователи рекомендуют Apple хотя бы ограничить создание новых адресов и предупредить всех клиентов о риске. Они призывают компанию работать вместе и решить проблему быстрее.
Проверить факты помог журналист Джозеф Кокс из 404 Media — он выступил как независимая третья сторона.