Falha no Hide My Email da Apple expõe endereços de e-mail reais dos usuários
Aprofundamento CEVIU
Aprofundamento
O Hide My Email da Apple não é um simples gerador de aliases: é um serviço de retransmissão ativa, integrado ao iCloud+, que cria endereços sob @icloud.com (antes) e agora sob @private.icloud.com. Cada alias recebe e encaminha mensagens para o e-mail real do usuário, mas a falha descoberta por Tyler Murphy permite que esse encaminhamento seja revertido, expondo o endereço original em cerca de cinco minutos. A vulnerabilidade não depende de engenharia social ou interação do usuário: basta conhecer o alias e aplicar o exploit.
A mudança para @private.icloud.com, anunciada em 15 de junho de 2026, não foi só cosmética. Ela reduziu a diversidade de domínios usados pelos aliases, facilitando que provedores de e-mail e plataformas de marketing identifiquem, bloqueiem ou desclassifiquem automaticamente todos os endereços desse subdomínio como 'descartáveis', o que já está acontecendo em serviços como Shopify, Mailchimp e até em APIs de verificação de e-mail usadas por fintechs brasileiras. Agora, com a falha técnica confirmada, o risco se torna duplo: exposição direta do e-mail real + perda de funcionalidade por bloqueio em massa.
O que mudou
Em abril de 2026, a Apple afirmou ter corrigido a falha, mas testes independentes de Murphy em maio e junho de 2026 provaram que a correção não funcionou. A migração para @private.icloud.com, lançada oficialmente em 15 de junho, foi vendida como uma atualização de infraestrutura. Na prática, ela piorou o cenário: antes, aliases eram distribuídos entre múltiplos domínios (@icloud.com, @me.com, @mac.com), dificultando correlações. Agora, com um único subdomínio compartilhado com o Sign in with Apple, a identificação em massa ficou trivial, e a nova falha explora justamente essa centralização.
Por que isso importa
Esse não é um vazamento pontual. É uma falha estrutural em um recurso pago (iCloud+ custa R$ 9,90/mês no Brasil) que empresas e profissionais de TI recomendam como camada crítica de proteção contra phishing, spam e vazamentos de terceiros. Quando um alias é exposto, criminosos usam sites como Spokeo ou Pipl para cruzar o e-mail com nome, CPF e telefone, especialmente perigoso para jornalistas, ativistas e funcionários de órgãos públicos que dependem do recurso para operar com anonimato. No Brasil, onde 73% dos ataques de phishing em 2026 usaram dados pessoais previamente vazados (Relatório CERT.br, junho/2026), essa falha amplifica diretamente o risco de callback-phishing, como já visto em ataques que exploraram alertas falsos de alteração de conta Apple TechCrunch.
Linha do tempo
Tyler Murphy reporta a falha à Apple
Apple afirma ter corrigido a vulnerabilidade em atualização
Lançamento oficial da migração para @private.icloud.com
Divulgação pública da falha pelo TechCrunch, após falha na correção e novos testes bem-sucedidos
Perguntas frequentes
O que acontece se meu alias do Hide My Email for explorado?
Seu e-mail real será revelado. Com ele, atacantes podem buscar seu nome, telefone e endereço em bancos de dados de corretores de dados. Em casos extremos, isso alimenta ataques de phishing personalizados ou tentativas de invasão de contas bancárias vinculadas ao mesmo e-mail.
A Apple já lançou uma correção oficial?
Não. A empresa confirmou o recebimento do relatório em julho de 2025, disse ter corrigido em março de 2026 (o que foi refutado por testes), e pediu sigilo até maio, sem entregar nenhuma atualização funcional. O TechCrunch ainda aguarda resposta oficial.
Posso continuar usando o Hide My Email com segurança?
Não recomendamos para uso crítico. O recurso está comprometido em dois níveis: pela falha técnica de exposição e pela mudança para @private.icloud.com, que já é bloqueado por sistemas de filtragem de e-mail em tempo real. Para proteção real, prefira soluções descentralizadas com domínios próprios ou provedores especializados em privacidade, como SimpleLogin ou AnonAddy.
Essa falha afeta apenas usuários do iCloud+?
Sim. O Hide My Email é exclusivo de assinantes do iCloud+. Usuários gratuitos do iCloud não têm acesso ao recurso, e, portanto, não estão expostos por essa vulnerabilidade específica. Mas estão vulneráveis a outros problemas, como o abuso de alertas de alteração de conta Apple, já documentado em abril de 2026.
Fontes
- techcrunch.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

