Kevésbé rejtett e-mail
A 404 Media szerint súlyos adatvédelmi hiba érinti az Apple Hide My Email szolgáltatását, egy támadó bizonyos körülmények között képes meghatározni a véletlenszerűen generált alias mögött álló valódi e-mail címet, ezzel gyakorlatilag megszüntetve a szolgáltatás legfontosabb védelmi funkcióját. A sérülékenységet Tyler Murphy, az EasyOptOuts társalapítója fedezte fel, és 2025 júniusában felelős módon jelentette az Apple-nek, részletes reprodukciós lépésekkel együtt. Az Apple 2025 júliusában visszaigazolta a bejelentést, majd 2026 márciusában azt közölte, hogy egy rendszerbeli módosítással javította a problémát. Murphy ezt követően igazolta, hogy a hiba továbbra is kihasználható, ezért ismét értesítette a vállalatot. Az Apple később azt kérte, hogy a kutató a javításig ne hozza nyilvánosságra a részleteket, és közölte, hogy a javítás egy a következő hetekben várható biztonsági frissítésben érkezik, azonban a 404 Media a cikk megjelenése előtt saját tesztjeivel is megerősítette, hogy a sérülékenység továbbra is működik. A technikai részleteket szándékosan nem hozták nyilvánosságra, hogy ne könnyítsék meg a támadók dolgát.
A kutató korlátozott számú önkéntes bevonásával végzett tesztjei során minden vizsgált Hide My Email cím esetében (100%) sikerült visszafejteni a valódi e-mail címet. Ez különösen kockázatos azok számára, akik a szolgáltatást identitásuk védelmére, zaklatók elkerülésére, újságírói vagy aktivista munkára, illetve adatszivárgások hatásának csökkentésére használják. Murphy szerint egy valódi e-mail cím birtokában a nyilvánosan elérhető people search adatbázisok segítségével gyakran további személyes adatok – például név, lakcím vagy telefonszám – is összekapcsolhatók az áldozattal. A kutató ezért azt is javasolta az Apple-nek, hogy a javítás elkészültéig ideiglenesen függessze fel új Hide My Email címek létrehozását, erre azonban nem került sor.