Uma vulnerabilidade sem correção no recurso Hide My Email da Apple permite que qualquer pessoa descubra o endereço de e-mail real oculto por trás de um alias anónimo, segundo o investigador Tyler Murphy e testes independentes da 404 Media. A falha foi reportada à Apple em junho de 2025 e permanece ativa em julho de 2026, mais de um ano depois, sem correção ou aviso aos utilizadores. Quem depende do recurso para preservar a privacidade precisa de agir já.
Resumo do caso em segundos
Uma falha sem correção no recurso Hide My Email da Apple permite que qualquer pessoa descubra o endereço de e-mail real escondido por trás de um alias anónimo. O investigador Tyler Murphy reportou o problema à Apple em junho de 2025 — há mais de um ano — e a empresa nunca lançou correção. A publicação 404 Media validou a falha nesta semana. Quem usa o recurso para preservar a privacidade precisa de agir agora.
- O quê: Falha no Hide My Email expõe e-mails reais que deveriam estar ocultos.
- Quem descobriu: Tyler Murphy, cofundador da EasyOptOuts, em junho de 2025.
- Status: Sem correção após mais de um ano; confirmada ativa em 30 de junho de 2026.
- Risco: Phishing direcionado, rastreio de spam e desanonimização de contas.
- Ação: Trate aliases como ligados ao seu e-mail real e ajuste a sua segurança.
A falha que quebra a privacidade
O Hide My Email é um dos recursos mais populares do iCloud+, o serviço pago de armazenamento da Apple. Ele gera endereços de reencaminhamento únicos — aliases — para que o utilizador se registe em sites e aplicações sem revelar o seu e-mail principal. A promessa é simples: privacidade real e caixa de entrada livre de spam.
A 1 de julho de 2026, o portal Cyber Security News confirmou que essa promessa está quebrada. Uma vulnerabilidade sem correção permite que atacantes com pouca habilidade técnica consigam descobrir o endereço de e-mail real por trás de um alias que deveria permanecer opaco. A falha foi validada de forma independente pela publicação 404 Media, que testou o problema contra um dos seus próprios endereços ocultos e confirmou que ele continuava explorável nesta segunda-feira, 30 de junho.
“O Hide My Email da Apple está a vazar endereços de e-mail que deveriam estar escondidos”, resumiu a 404 Media. O detalhe mais alarmante: explorar a falha não exige privilégios elevados nem acesso interno. Atacantes comuns podem sondar e enumerar aliases de forma sistemática.
Como o recurso deveria funcionar
Para entender a gravidade, vale lembrar o design pretendido. Quando você activa o Hide My Email, a Apple cria um endereço aleatório — algo como morango-trigo-9a8b@icloud.com — que reencaminha mensagens para a sua caixa de entrada verdadeira. O site de destino nunca vê o seu e-mail real. Em tese, isso compartimentaliza a sua identidade: cada serviço recebe um alias diferente, e nenhum consegue correlacioná-los.
Esse modelo atrai utilizadores preocupados com privacidade: jornalistas, ativistas, vítimas de perseguição online e qualquer pessoa cansada de ver o seu endereço vazado em campanhas de marketing. A vulnerabilidade transforma aliases que deveriam ser opacos em pseudónimos fracos — resolúveis de volta para a caixa de correio verdadeira, segundo a análise da Six Colors.
Avisada há mais de um ano
O investigador Tyler Murphy, cofundador da empresa de remoção de dados EasyOptOuts, descobriu a falha e reportou-a à Apple em junho de 2025, com instruções detalhadas de reprodução, seguindo as boas práticas de divulgação responsável. Um mês depois, a Apple respondeu a confirmar que estava a analisar o problema — e então silenciou.
Segundo o site Lifehacker, nunca saiu uma correção nem uma comunicação aos utilizadores afectados. Perante o silêncio prolongado, Murphy e a 404 Media optaram pela divulgação parcial: alertar o público, mas reter os passos técnicos exactos para evitar abuso trivial.
“Reportámos o problema e as instruções de replicação à Apple há mais de um ano. Não sabemos por que não foi corrigido, mas já não nos sentimos confortáveis em esperar”, declarou Murphy à 404 Media. “Os utilizadores do Hide My Email merecem saber que pode ser possível para atacantes descobrir os seus endereços ocultos.”
A 404 Media acrescentou que a Apple não respondeu a múltiplos pedidos de comentário. Paralelamente, o TechCrunch reportou em junho que a Apple planeia alterar o Hide My Email que o tornarão significativamente menos eficaz — o que levanta dúvidas sobre o futuro do recurso.
Quem corre maior risco
Nem todos os utilizadores enfrentam o mesmo nível de ameaça. A tabela abaixo resume os cenários em que a falha causa mais danos e o tipo de consequência esperada:
| Perfil do utilizador | Por que está exposto | Consequência prática |
|---|---|---|
| Jornalistas e ativistas | Usam aliases para proteger fontes e identidade | Desanonimização e vigilância direcionada |
| Vítimas de perseguição | Dependem do ocultamento para segurança física | Risco real de localização e assédio |
| Clientes de comércio online | Cada loja recebe um alias diferente | Correlação de hábitos e aumento de spam |
| Utilizadores comuns do iCloud+ | Assinam newsletters e serviços com aliases | Phishing direcionado ao e-mail verdadeiro |
O que fazer sem correção
Como a Apple ainda não corrigiu a falha, a atitude mais sensata é assumir que qualquer alias do Hide My Email pode ser ligado ao seu e-mail real. Isso não significa abandonar o recurso, mas sim ajustar as expectativas e reforçar camadas adicionais de proteção:
- Reveja os aliases críticos: se você registou contas sensíveis (bancos, saúde, trabalho) com aliases, considere trocar a password e activar autenticação em dois fatores nesses serviços.
- Não confie no ocultamento absoluto: trate cada alias como um pseudónimo ligável e evite usá-lo em fóruns ou plataformas onde a sua identidade real não pode vazar de forma alguma.
- Monitore phishing: espere mensagens cada vez mais personalizadas no seu e-mail principal, já que atacantes podem correlacionar aliases.
- Considere alternativas: serviços como SimpleLogin e DuckDuckGo Email Protection oferecem reencaminhamento semelhante, embora nenhum recurso seja totalmente imune a falhas.
- Mantenha o iCloud+ atualizado: aplique as atualizações da Apple assim que forem lançadas, pois uma correção pode chegar a qualquer momento.
Para aprofundar a sua postura de segurança, vale ler o nosso guia sobre segurança digital na prática em 2026 e entender como a engenharia social continua a ser o hack mais poderoso mesmo quando a tecnologia falha.
O silêncio da Apple importa
Este caso expõe uma tensão crescente no mercado de privacidade digital: o contraste entre o discurso de marketing e a prática de segurança. A Apple posiciona-se publicamente como defensora da privacidade — “Privacidade. Isso é iPhone”, diz a sua publicidade —, mas levou mais de um ano sem corrigir uma falha que afecta exatamente o utilizador que confia nesse discurso.
O episódio levanta uma questão incómoda para os milhões de clientes Apple no Brasil. Quando um recurso vendido como proteção tem uma brecha conhecida durante meses e a empresa nem sequer comunica mitigadores, o utilizador fica a operar com uma falsa sensação de segurança. E falsa segurança é pior do que nenhuma, porque desarma a desconfiança natural.
A lição editorial é clara: privacidade não se decreta, verifica-se. Independentemente da marca, quem leva a sua proteção a sério deve tratar qualquer funcionalidade de anonimato como passível de falha e manter defesas em camadas. A confiança cega num fornecedor — por mais prestigiado que seja — é precisamente o que atacantes exploram.
O que esperar agora
Com a divulgação parcial já pública, a pressão sobre a Apple tende a aumentar. É provável que a empresa liberte uma correção nas próximas semanas, mas o estrago reputacional e o precedente ficam. O mais importante, agora, é que cada utilizador do Hide My Email tome conhecimento e aja antes que a correção chegue.
A falha também reforça uma tendência mais ampla: serviços de reencaminhamento de e-mail continuam a ser alvos valiosos para atacantes, porque concentram mapeamentos entre identidades anónimas e reais. Quem depende desse tipo de recurso deve diversificar fornecedores e nunca tratar um único mecanismo como bala de prata.
Referências
- Cyber Security News — Apple ‘Hide My Email’ Vulnerability Exposes Users’ Real Email Addresses (1 jul 2026)
- 404 Media — Apple ‘Hide My Email’ Vulnerability Reveals Peoples’ Real Email Addresses (2026)
- MacRumors — Apple Hide My Email Vulnerability Exposes Real Email Addresses (1 jul 2026)
- Lifehacker — Apple’s ‘Hide My Email’ Reportedly Exposes Your Real Email Address (2026)
- Six Colors — Security vulnerability makes Hide My Email not so anonymous (2026)