O Hide My Email da Apple, função do iCloud+ que cria aliases para esconder o endereço real de e-Mail do usuário, teve uma falha de privacidade exposta e segue sem correção pública, mesmo mais de um ano depois de ter sido reportada à Apple, em junho de 2025. Segundo o pesquisador de segurança Tyler Murphy, essa brecha pode permitir que um atacante descubra qual é o e-mail verdadeiro por trás de um alias, atingindo em cheio a promessa central do recurso.
Murphy afirma que a Apple reconheceu o problema depois do aviso enviado em junho de 2025, mas, até aqui, não liberou uma correção pública. Como o Hide My Email faz parte do iCloud+ e é bastante usado dentro do ecossistema da empresa, o alcance disso pode ser grande.
O funcionamento do Hide My Email é simples: no lugar de entregar seu endereço real para apps, lojas e sites, o usuário gera um alias aleatório, que então encaminha as mensagens para a caixa de entrada principal. No dia a dia, isso ajuda a cortar rastreamento, reduzir spam e evitar a ligação direta entre identidade e atividade online.
A falha relatada por Tyler Murphy, no entanto, abriria caminho para derrubar essa barreira e ligar o alias ao e-mail real. O pesquisador não publicou o método exato de exploração, justamente para não facilitar abuso em larga escala.
Por isso, os detalhes técnicos ainda são limitados. O problema, mesmo assim, é fácil de entender: se essa proteção falha, o recurso perde boa parte do sentido.
Para muita gente, descobrir um endereço de e-mail pode soar como algo pequeno. Murphy chamou atenção para outro ponto: esse dado pode virar a porta de entrada para localizar mais informações pessoais em serviços públicos de busca de pessoas e em bases comerciais de dados. A partir daí, o risco cresce, sobretudo para usuáriOS mais expostos, como vítimas de assédio, jornalistas, ativistas ou qualquer pessoa que dependa de uma separação clara entre identidade real e presença digital.
Às vezes, um único e-mail já basta para cruzar nome completo, perfis em redes sociais, número de telefone e até endereço.
O tamanho da base possivelmente afetada também pesa. Segundo dados de 2023 citados por Tyler Murphy, 55% dos usuários do Mail no iOS tinham ativado o Hide My Email. Isso sugere uma área de exposição bem ampla dentro da base de usuários de iPhone e iCloud+.
Até agora, porém, a Apple não corrigiu o problema publicamente. A empresa também se prepara para mudar os novos aliases gerados para o domínio “@private.icloud.com”, e críticos dessa mudança dizem que isso pode tornar esses endereços mais fáceis de identificar automaticamente por sites e serviços, abrindo espaço para bloqueios direcionados.
O caso também deixa mais clara uma diferença que muita gente costuma confundir: Hide My Email é um recurso de privacidade, não uma ferramenta de anonimato absoluto. Reportagens anteriores já mostraram que a Apple pode fornecer informações ligadas ao uso do serviço quando há exigência legal por parte das autoridades.
A ideia da ferramenta sempre foi reduzir exposição comercial e rastreamento no uso cotidiano, não tornar ninguém invisível em qualquer situação. Ainda assim, uma falha que consiga revelar o e-mail real sem consentimento é um problema sério. E o fato de ela continuar aberta depois de mais de um ano tende a aumentar a pressão sobre a Apple.