Uma vulnerabilidade sem correção no recurso Hide My Email da Apple permite que qualquer pessoa descubra o endereço de e-mail real oculto por trás de um alias anónimo, segundo o investigador Tyler Murphy e testes independentes da 404 Media. A falha foi reportada à Apple em junho de 2025 e permanece ativa em julho de 2026, mais de um ano depois, sem correção ou aviso aos utilizadores. Quem depende do recurso para preservar a privacidade precisa de agir já.

Resumo do caso em segundos

Uma falha sem correção no recurso Hide My Email da Apple permite que qualquer pessoa descubra o endereço de e-mail real escondido por trás de um alias anónimo. O investigador Tyler Murphy reportou o problema à Apple em junho de 2025 — há mais de um ano — e a empresa nunca lançou correção. A publicação 404 Media validou a falha nesta semana. Quem usa o recurso para preservar a privacidade precisa de agir agora.

  • O quê: Falha no Hide My Email expõe e-mails reais que deveriam estar ocultos.
  • Quem descobriu: Tyler Murphy, cofundador da EasyOptOuts, em junho de 2025.
  • Status: Sem correção após mais de um ano; confirmada ativa em 30 de junho de 2026.
  • Risco: Phishing direcionado, rastreio de spam e desanonimização de contas.
  • Ação: Trate aliases como ligados ao seu e-mail real e ajuste a sua segurança.

A falha que quebra a privacidade

O Hide My Email é um dos recursos mais populares do iCloud+, o serviço pago de armazenamento da Apple. Ele gera endereços de reencaminhamento únicos — aliases — para que o utilizador se registe em sites e aplicações sem revelar o seu e-mail principal. A promessa é simples: privacidade real e caixa de entrada livre de spam.

A 1 de julho de 2026, o portal Cyber Security News confirmou que essa promessa está quebrada. Uma vulnerabilidade sem correção permite que atacantes com pouca habilidade técnica consigam descobrir o endereço de e-mail real por trás de um alias que deveria permanecer opaco. A falha foi validada de forma independente pela publicação 404 Media, que testou o problema contra um dos seus próprios endereços ocultos e confirmou que ele continuava explorável nesta segunda-feira, 30 de junho.

“O Hide My Email da Apple está a vazar endereços de e-mail que deveriam estar escondidos”, resumiu a 404 Media. O detalhe mais alarmante: explorar a falha não exige privilégios elevados nem acesso interno. Atacantes comuns podem sondar e enumerar aliases de forma sistemática.

Como o recurso deveria funcionar

Para entender a gravidade, vale lembrar o design pretendido. Quando você activa o Hide My Email, a Apple cria um endereço aleatório — algo como morango-trigo-9a8b@icloud.com — que reencaminha mensagens para a sua caixa de entrada verdadeira. O site de destino nunca vê o seu e-mail real. Em tese, isso compartimentaliza a sua identidade: cada serviço recebe um alias diferente, e nenhum consegue correlacioná-los.

Esse modelo atrai utilizadores preocupados com privacidade: jornalistas, ativistas, vítimas de perseguição online e qualquer pessoa cansada de ver o seu endereço vazado em campanhas de marketing. A vulnerabilidade transforma aliases que deveriam ser opacos em pseudónimos fracos — resolúveis de volta para a caixa de correio verdadeira, segundo a análise da Six Colors.

Avisada há mais de um ano

O investigador Tyler Murphy, cofundador da empresa de remoção de dados EasyOptOuts, descobriu a falha e reportou-a à Apple em junho de 2025, com instruções detalhadas de reprodução, seguindo as boas práticas de divulgação responsável. Um mês depois, a Apple respondeu a confirmar que estava a analisar o problema — e então silenciou.

Segundo o site Lifehacker, nunca saiu uma correção nem uma comunicação aos utilizadores afectados. Perante o silêncio prolongado, Murphy e a 404 Media optaram pela divulgação parcial: alertar o público, mas reter os passos técnicos exactos para evitar abuso trivial.

“Reportámos o problema e as instruções de replicação à Apple há mais de um ano. Não sabemos por que não foi corrigido, mas já não nos sentimos confortáveis em esperar”, declarou Murphy à 404 Media. “Os utilizadores do Hide My Email merecem saber que pode ser possível para atacantes descobrir os seus endereços ocultos.”

A 404 Media acrescentou que a Apple não respondeu a múltiplos pedidos de comentário. Paralelamente, o TechCrunch reportou em junho que a Apple planeia alterar o Hide My Email que o tornarão significativamente menos eficaz — o que levanta dúvidas sobre o futuro do recurso.

Quem corre maior risco

Nem todos os utilizadores enfrentam o mesmo nível de ameaça. A tabela abaixo resume os cenários em que a falha causa mais danos e o tipo de consequência esperada:

Perfil do utilizador Por que está exposto Consequência prática
Jornalistas e ativistas Usam aliases para proteger fontes e identidade Desanonimização e vigilância direcionada
Vítimas de perseguição Dependem do ocultamento para segurança física Risco real de localização e assédio
Clientes de comércio online Cada loja recebe um alias diferente Correlação de hábitos e aumento de spam
Utilizadores comuns do iCloud+ Assinam newsletters e serviços com aliases Phishing direcionado ao e-mail verdadeiro

O que fazer sem correção

Como a Apple ainda não corrigiu a falha, a atitude mais sensata é assumir que qualquer alias do Hide My Email pode ser ligado ao seu e-mail real. Isso não significa abandonar o recurso, mas sim ajustar as expectativas e reforçar camadas adicionais de proteção:

  1. Reveja os aliases críticos: se você registou contas sensíveis (bancos, saúde, trabalho) com aliases, considere trocar a password e activar autenticação em dois fatores nesses serviços.
  2. Não confie no ocultamento absoluto: trate cada alias como um pseudónimo ligável e evite usá-lo em fóruns ou plataformas onde a sua identidade real não pode vazar de forma alguma.
  3. Monitore phishing: espere mensagens cada vez mais personalizadas no seu e-mail principal, já que atacantes podem correlacionar aliases.
  4. Considere alternativas: serviços como SimpleLogin e DuckDuckGo Email Protection oferecem reencaminhamento semelhante, embora nenhum recurso seja totalmente imune a falhas.
  5. Mantenha o iCloud+ atualizado: aplique as atualizações da Apple assim que forem lançadas, pois uma correção pode chegar a qualquer momento.

Para aprofundar a sua postura de segurança, vale ler o nosso guia sobre segurança digital na prática em 2026 e entender como a engenharia social continua a ser o hack mais poderoso mesmo quando a tecnologia falha.

O silêncio da Apple importa

Este caso expõe uma tensão crescente no mercado de privacidade digital: o contraste entre o discurso de marketing e a prática de segurança. A Apple posiciona-se publicamente como defensora da privacidade — “Privacidade. Isso é iPhone”, diz a sua publicidade —, mas levou mais de um ano sem corrigir uma falha que afecta exatamente o utilizador que confia nesse discurso.

O episódio levanta uma questão incómoda para os milhões de clientes Apple no Brasil. Quando um recurso vendido como proteção tem uma brecha conhecida durante meses e a empresa nem sequer comunica mitigadores, o utilizador fica a operar com uma falsa sensação de segurança. E falsa segurança é pior do que nenhuma, porque desarma a desconfiança natural.

A lição editorial é clara: privacidade não se decreta, verifica-se. Independentemente da marca, quem leva a sua proteção a sério deve tratar qualquer funcionalidade de anonimato como passível de falha e manter defesas em camadas. A confiança cega num fornecedor — por mais prestigiado que seja — é precisamente o que atacantes exploram.

O que esperar agora

Com a divulgação parcial já pública, a pressão sobre a Apple tende a aumentar. É provável que a empresa liberte uma correção nas próximas semanas, mas o estrago reputacional e o precedente ficam. O mais importante, agora, é que cada utilizador do Hide My Email tome conhecimento e aja antes que a correção chegue.

A falha também reforça uma tendência mais ampla: serviços de reencaminhamento de e-mail continuam a ser alvos valiosos para atacantes, porque concentram mapeamentos entre identidades anónimas e reais. Quem depende desse tipo de recurso deve diversificar fornecedores e nunca tratar um único mecanismo como bala de prata.

Referências