Uma falha de segurança no recurso Hide My Email da Apple deixou milhões de assinantes do iCloud Plus potencialmente expostos — seus endereços de e-mail reais discretamente visíveis para qualquer pessoa disposta a usar uma ferramenta básica de busca de identidade. Isso não é um risco teórico. De acordo com Tyler Murphy, cofundador da Easy Opt Out, todos os endereços Hide My Email testados eram exploráveis.
Summary
Principais pontos
- Uma vulnerabilidade no serviço Hide My Email da Apple permite que qualquer pessoa descubra o endereço de e-mail real de um usuário usando ferramentas de busca de identidade de acesso público.
- Tyler Murphy, da Easy Opt Out, notificou a Apple sobre o bug em junho de 2025; a Apple afirmou ter corrigido o problema em março de 2026, mas a vulnerabilidade persistiu.
- Testes com voluntários mostraram uma taxa de exploração de 100% em todos os endereços Hide My Email testados.
- A Apple planejou atualizações, incluindo uma mudança de domínio de icloud.com para private.icloud.com, embora o cronograma para uma correção completa permaneça incerto.
- Especialistas aconselham os assinantes do iCloud Plus a interromper temporariamente o uso do Hide My Email até que o problema seja resolvido.
Falha de segurança expõe e-mails reais no Hide My Email da Apple
O Hide My Email é baseado em uma promessa simples: você se cadastra em um site usando um alias descartável sob o domínio icloud.com, e sua caixa de entrada real permanece invisível. O alias absorve spam, expira conforme o previsto e mantém sua identidade limpa. Pelo aproximadamente um dólar por mês que o iCloud Plus custa em seu nível de entrada, isso parece uma higiene de privacidade sólida.
Essa promessa tem uma rachadura séria. Murphy disse ao 404 Media, que primeiro relatou e verificou a vulnerabilidade, que sites de busca de pessoas de acesso público tornam fácil vincular um endereço Hide My Email a outros dados pessoais, o que significa que qualquer pessoa suficientemente motivada — um corretor de dados, um perseguidor, um golpista — não precisa de habilidades sofisticadas de hacking para trabalhar de trás para frente, de um alias até uma caixa de entrada real.
A Easy Opt Out realizou testes controlados com voluntários, e os resultados foram contundentes: 100% dos endereços Hide My Email testados puderam ser usados para descobrir o endereço de e-mail real do usuário por meio de ferramentas de busca de identidade disponíveis ao público em geral. Murphy se recusou a descrever publicamente a mecânica exata do exploit, e o 404 Media omitiu detalhes técnicos no momento da reportagem para evitar uma exploração em massa imediata.
As implicações são mais difíceis de ignorar, dada a natureza do recurso. O Hide My Email existe justamente para situações em que a exposição traz consequências reais — cadastrar-se em serviços que podem ser violados no futuro, limitar a visibilidade para corretores de dados, proteger usuários em circunstâncias sensíveis. Murphy alertou especificamente que “pessoas que dependem do Hide My Email para segurança podem estar em risco”, uma afirmação que eleva isso além de um problema técnico de nicho.
Descoberta, relato e cronograma de resposta da Apple
Descoberta inicial e relato em junho de 2025
Murphy alertou a Apple pela primeira vez sobre a vulnerabilidade em junho de 2025 — mais de um ano antes da divulgação pública. Esse cronograma, por si só, já merece atenção. Um recurso de privacidade em uso comercial ativo, com uma falha de segurança conhecida e verificada, permaneceu sem correção durante um ano inteiro de exposição dos usuários.
A alegação de correção da Apple em março de 2026 e a persistência do bug
Em março de 2026, a Apple disse a Murphy que o problema havia sido resolvido. Murphy verificou. Não havia sido. A vulnerabilidade ainda era totalmente explorável após a suposta correção da Apple, levantando questões sobre o rigor dos testes internos que antecederam essa garantia.
Discordância sobre a divulgação pública
Em maio de 2026, a Apple reconheceu que ainda estava investigando e pediu a Murphy que adiasse a divulgação pública. A mensagem da Apple foi direta: “Para evitar colocar nossos clientes em risco, agradeceríamos que você não divulgasse essas informações até que nossa investigação esteja concluída.” Murphy discordou. Ele tornou o caso público mesmo assim, argumentando que os usuários mereciam saber sobre um risco que já persistia há mais de um ano sem solução.
Essa discordância reflete uma tensão real na pesquisa de segurança. A divulgação coordenada — em que pesquisadores dão às empresas tempo para corrigir antes de publicar — é prática padrão e geralmente protetora. Mas quando uma empresa perde seu próprio prazo de correção, continua adiando e ainda não oferece uma data de resolução confirmada, os pesquisadores enfrentam uma decisão difícil. A posição de Murphy: o silêncio contínuo significava exposição contínua para usuários que não faziam ideia de que sua ferramenta de privacidade estava comprometida.
A Apple não respondeu aos pedidos de comentário do 404 Media nem do CNET após a divulgação pública.
Implicações para os usuários e atualizações planejadas pela Apple
Para qualquer pessoa que esteja usando o Hide My Email atualmente, o conselho prático dos especialistas em segurança é simples: pare de usar o recurso temporariamente até que a Apple confirme uma correção funcional. O risco não é abstrato — é o fato de que cada alias que você usou pode, potencialmente, ser rastreado até sua caixa de entrada real por alguém com acesso a ferramentas padrão de corretores de dados.
A Apple indicou que está trabalhando em várias atualizações para o recurso neste verão. A mudança mais concreta divulgada é uma troca de domínio de icloud.com para private.icloud.com. O motivo específico por trás dessa mudança não foi explicado publicamente, e a nova estrutura de subdomínio traz suas próprias complicações.
Se sites e serviços começarem a reconhecer e bloquear endereços que terminam em private.icloud.com — o que é um resultado realista, já que muitas plataformas já sinalizam ou rejeitam domínios de alias conhecidos —, os usuários do Hide My Email podem se ver forçados a voltar a compartilhar seus endereços reais. Isso efetivamente derrotaria o propósito central do recurso. Se a Apple levou em conta esse efeito em cadeia em seu planejamento de atualização permanece uma questão em aberto.
Este não é o primeiro choque entre o marketing de privacidade da Apple e o desempenho real de suas ferramentas de privacidade. Em 2022, descobriu-se que apps de iPhone enviavam dados de análise para a Apple mesmo com a configuração de Análises do iPhone desativada. Em 2023, o recurso de randomização de endereço MAC, destinado a anonimizar conexões Wi‑Fi, foi descoberto expondo, em vez disso, os endereços MAC reais dos usuários. Cada incidente desgastou o mesmo alicerce: a reputação, cultivada ao longo de anos, da Apple como uma empresa que leva a privacidade do usuário a sério por padrão.
A vulnerabilidade do Hide My Email é diferente em um aspecto fundamental — ela afeta um recurso que os usuários ativam explicitamente porque querem se proteger. A lacuna entre expectativa e realidade é mais ampla justamente onde as apostas são mais altas.
Perguntas frequentes (FAQ)
Qual é a vulnerabilidade descoberta no serviço Hide My Email da Apple?
Uma falha de segurança permite que invasores descubram os endereços de e-mail reais dos usuários vinculados aos seus aliases Hide My Email, usando ferramentas básicas e de acesso público de busca de identidade. Os testes da Easy Opt Out mostraram uma taxa de exploração de 100% em todos os endereços testados.
Quando a Apple tomou conhecimento pela primeira vez do bug no Hide My Email?
A Apple foi notificada sobre a vulnerabilidade em junho de 2025 por Tyler Murphy, cofundador da Easy Opt Out.
A Apple já corrigiu o bug no Hide My Email?
A Apple afirmou ter corrigido o problema em março de 2026, mas Murphy confirmou que a vulnerabilidade ainda existia após essa data. Até a divulgação pública em julho de 2026, a Apple não havia confirmado uma solução funcional.
Quais medidas a Apple está planejando para melhorar a segurança do Hide My Email?
A Apple planeja atualizar o Hide My Email alterando o domínio de e-mail de icloud.com para private.icloud.com, entre outras atualizações esperadas para o final do verão de 2026. Ainda não foi confirmado se isso fecha completamente a vulnerabilidade.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Qual é a vulnerabilidade descoberta no serviço Hide My Email da Apple?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Uma falha de segurança permite que invasores descubram os endereços de e-mail reais dos usuários vinculados aos seus aliases Hide My Email, usando ferramentas básicas e de acesso público de busca de identidade. Os testes da Easy Opt Out mostraram uma taxa de exploração de 100% em todos os endereços testados.”}},{“@type”:”Question”,”name”:”Quando a Apple tomou conhecimento pela primeira vez do bug no Hide My Email?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A Apple foi notificada sobre a vulnerabilidade em junho de 2025 por Tyler Murphy, cofundador da Easy Opt Out.”}},{“@type”:”Question”,”name”:”A Apple já corrigiu o bug no Hide My Email?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A Apple afirmou ter corrigido o problema em março de 2026 , mas Murphy confirmou que a vulnerabilidade ainda existia após essa data. Até a divulgação pública em julho de 2026, a Apple não havia confirmado uma solução funcional.”}},{“@type”:”Question”,”name”:”Quais medidas a Apple está planejando para melhorar a segurança do Hide My Email?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A Apple planeja atualizar o Hide My Email alterando o domínio de e-mail de icloud.com para private.icloud.com , entre outras atualizações esperadas para o final do verão de 2026. Ainda não foi confirmado se isso fecha completamente a vulnerabilidade.”}}]}
Artigo produzido com a assistência de inteligência artificial e revisado pela equipe editorial.

