MacRumors

Skip to Content

Уязвимость в функции Apple «Скрыть e-mail» позволяет раскрыть реальные адреса электронной почты

Согласно сообщениям, ошибка в сервисе Apple «Скрыть e-mail» (Hide My Email) позволяет практически любому желающему узнать настоящий адрес электронной почты, скрытый за сгенерированным псевдонимом. Apple не устраняет эту проблему уже более года с момента её первого обнаружения.

General macOS Mail Feature
404 Media не раскрывает технические подробности уязвимости, поскольку она до сих пор может быть использована злоумышленниками, однако издание подтвердило наличие проблемы на этой неделе, используя собственный адрес, созданный через функцию «Скрыть e-mail». В тестах с участием добровольцев, проведённых исследователем, обнаружившим уязвимость, выяснилось, что 100% адресов, созданных через этот сервис, подвержены риску.

Тайлер Мерфи, сооснователь EasyOptOuts, обнаружил проблему и ответственно сообщил о ней в Apple в июне 2025 года, предоставив инструкции по её воспроизведению. Месяц спустя Apple подтвердила получение отчёта и заявила, что ведёт расследование. Мерфи отметил:

Сервис Apple «Скрыть e-mail» раскрывает адреса, которые должны оставаться конфиденциальными. Мы сообщили о проблеме и предоставили инструкции по её воспроизведению в Apple более года назад. Мы не знаем, почему она до сих пор не исправлена, но больше не считаем возможным ждать. Пользователи «Скрыть e-mail» заслуживают знать, что злоумышленники могут вычислить их реальные адреса.

Бесплатные общедоступные сайты для поиска людей позволяют легко связать адрес электронной почты с другими личными данными, поэтому люди, полагающиеся на «Скрыть e-mail» в целях безопасности, могут подвергаться риску.

В марте 2026 года в Apple сообщили Мерфи, что «устранили заявленную проблему в ходе недавних изменений в системе», однако Мерфи обнаружил, что уязвимость на самом деле не была закрыта. Он предоставил дополнительную информацию, и в Apple вновь ответили, что продолжают расследование.

В мае Apple в очередной раз заявила, что проблема всё ещё изучается, и попросила Мерфи не разглашать её публично до завершения расследования. Мерфи предложил Apple приостановить создание новых адресов «Скрыть e-mail» в качестве временной меры для снижения рисков для клиентов, но нет никаких признаков того, что это предложение было принято. К концу мая в Apple заявили, что рассчитывают решить проблему в обновлении безопасности, которое «ожидается в ближайшие недели».

«Скрыть e-mail» — это функция iCloud+, позволяющая пользователям создавать случайные адреса-псевдонимы, в основном для регистрации на различных сервисах или переписки с третьими лицами. Она предназначена для защиты реального адреса электронной почты пользователя от спама, утечек данных и нежелательной идентификации.

Мерфи отметил, что в сети находится в открытом доступе множество баз данных для поиска людей, которые могут связать адрес электронной почты с другими персональными данными человека. Это означает, что все, кто полагается на функцию «Скрыть e-mail» ради своей безопасности, могут быть более уязвимы, чем им кажется. В прошлом месяце стало известно, что решение Apple перенести «Скрыть e-mail» на отдельный домен «private.icloud.com» имеет побочный эффект: платформам, желающим блокировать псевдонимы iCloud, стало гораздо проще это делать.