O ‘Hide My Email’ da Apple supostamente expõe seu endereço de e-mail real

O recurso “Hide My Email” da Apple é essencial para minha configuração de privacidade e segurança. Quase sempre que crio uma nova conta de login, principalmente quando não confio totalmente na empresa por trás dela, mascarei meu endereço de e-mail real com Hide My Email. Se a empresa em questão for duvidosa e decidir vender meu endereço de e-mail, ou sofrer uma violação de dados e vazar, não se preocupe: para começar, eles nunca tiveram meu e-mail real. Pelo menos, eles não deveriam.

Hide My Email tem um problema de privacidade e segurança

Conforme relatado por Joseph Cox da 404 Media, Hide My Email tem uma vulnerabilidade que pode expor os endereços de e-mail por trás dos aliases do Hide My Email. Os detalhes aqui são escassos e isso ocorre intencionalmente: esta é uma vulnerabilidade de segurança ativa e revelar muito pode espalhar a exploração ainda mais. Mas de acordo com Tyler Murphy, cofundador da EasyOptOuts, “quase qualquer pessoa” pode explorar essa vulnerabilidade para descobrir o endereço de e-mail real por trás de qualquer proxy Hide My Email.

Se você não sabe como funciona o Hide My Email, aqui está um rápido resumo: Digamos que seu endereço de e-mail seja (e-mail protegido). Quando você se inscreve em uma nova conta em algum lugar, Hide My Email pode gerar um “alias” para você. Nesse caso, podemos fingir que o recurso surgiu (protegido por e-mail) (quase sempre são parecidos com isto). Você se inscreve na nova conta com esse alias, em vez de com seu endereço de e-mail real, e todos os e-mails desse alias são canalizados automaticamente para sua caixa de entrada legítima. Funcionalmente, é como se você desse seu endereço real à empresa. Mas se você precisar romper os laços com a empresa, basta eliminar o pseudônimo e seu endereço de e-mail real permanecerá anônimo.

A questão aqui é que, por meio de “sites de pesquisa de pessoas gratuitos e acessíveis ao público”, os malfeitores podem descobrir qual é o seu endereço de e-mail real por meio do alias. Cox diz que testaram as descobertas com Murphy. Eles enviaram a Murphy um de seus aliases Hide My Email e, em cinco minutos, Murphy respondeu com o endereço de e-mail real de Cox. Embora Murphy diga que os testes foram limitados, a exploração funcionou em todos os alias que ele tentou. Isso não é um bom presságio para a segurança do Hide My Emial.

Apple sabe sobre a exploração Hide My Email

Além do mais, a Apple aparentemente sabia da falha desde junho de 2025. Murphy diz que contatou a empresa sobre a vulnerabilidade há mais de um ano. A Apple respondeu um mês depois, confirmando que estava investigando o problema. Então, em março de 2026, a Apple respondeu, anunciando que havia corrigido a falha.

O que você acha até agora?

Visto que estamos em julho, claramente não foi o caso. Murphy contatou a Apple novamente para informar que o Hide My Email ainda tinha essa vulnerabilidade. A Apple respondeu que estava investigando o assunto novamente e confirmou recentemente, em maio, que a investigação estava em andamento. A Apple pediu a Murphy que não divulgasse o problema até que o corrigisse, para evitar colocar os clientes em risco. Mas Murphy disse que não se sentia confortável em permitir que os usuários continuassem a confiar no Hide My Email sem saber dos riscos.

Hide My Email já está com problemas

Esta história surge poucas semanas depois que o TechCrunch relatou que a Apple estava mudando o Hide My Email para pior. De acordo com o relatório, a Apple planeja alterar o domínio dos aliases Hide My Email de @icloud.com para @private.icloud.com. Isso reduz significativamente a eficácia do recurso, pois permite que todos saibam que você está usando um alias. Da forma como estão agora, os aliases são indistinguíveis dos endereços de e-mail típicos do iCloud (talvez diferentes dos nomes estranhos), porque os domínios são os mesmos. Ao rotular domínios de alias como “privados”, humanos e bots saberão que este não é seu endereço real e poderão bloquear seus aliases ao criar contas.

A Apple ainda não lançou essas mudanças, mas de qualquer forma, Hide My Email está tendo um mês ruim. Ainda não vou revisar todo o meu fluxo de trabalho com base nesses relatórios, mas espero que a Apple tome as medidas apropriadas e corrija a falha o mais rápido possível. (E, para garantir, abandona seus planos de alterar os domínios Hide My Email.)

Fuente