Если вы читаете или смотрите любой обучающий материал по приватности в интернете, один из первых советов будет заключаться в том, чтобы начать использовать анонимизированные адреса электронной почты в той или иной форме — предоставить поддельный email, который перенаправляет на ваш настоящий. Многие почтовые провайдеры предлагают такую функциональность, как и базовый платный тариф iCloud от Apple с функцией Hide My Email. Но, по всей видимости, реализация этой функции в Apple оказалась тривиальной для взлома — а это значит, что любой может с небольшими усилиями обнаружить ваш реальный адрес электронной почты, сообщает 404 Media.
О проблеме приватности Apple известно уже больше года; впервые о ней сообщил Тайлер Мёрфи, соучредитель компании по удалению данных EasyOptOuts. Сотрудники 404 Media утверждают, что сами протестировали уязвимость и, действительно, для выяснения настоящего адреса, скрывающегося за поддельным псевдонимом, требуются минимальные усилия — с 100%-ной точностью.
Похоже, Apple не слишком обеспокоена этой проблемой, учитывая, что Мёрфи раскрыл её в июне 2025 года, а компания внедрила исправление только в марте 2026 года. Однако после исправления Мёрфи подтвердил, что проблема сохраняется (и, по всей видимости, последний раз он получал ответ от Apple в мае, когда компания сообщила, что всё ещё проводит расследование). Похоже, дальнейших обновлений нет, и это выглядит крайне неблагоприятно для компании, которая много говорит о конфиденциальности пользовательских данных.
Ни исследователь, ни 404 Media не раскрыли точный механизм уязвимости, хотя прошло уже больше года с момента обнаружения, что значительно превышает стандартное 90-дневное окно раскрытия информации об уязвимостях в сфере безопасности. Это, вероятно, сделано для того, чтобы не подвергать риску большого числа пользователей, учитывая, что Apple превысила миллиард платных подписчиков. Даже если только 1% пользователей применяет Hide My Email, это всё равно составляет 10 миллионов человек.
Ввиду отсутствия технических подробностей сложно точно определить, в чём может заключаться проблема. Случайные утечки псевдонимных адресов происходили уже несколько раз: по вине клиентского ПО, которое пытается быть полезным и «исправить» путь ответа, а также из-за серверов, некорректно обрабатывающих заголовки электронной почты.
Возможно, в качестве оскорбления, Apple недавно заявила, что собирается перенести адреса Hide My Email на собственный домен, «private.icloud.com», что облегчит веб-сайтам возможность отклонять такие адреса, стремясь всегда получать реальную контактную информацию пользователей. Мёрфи предложил компании прекратить продажи функции Hide My Email до тех пор, пока проблема с утечкой данных не будет решена, но, опять же, ответа не последовало.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira




