كشف باحثون أمنيون عن وجود ثغرة أمنية في وظيفة حماية الخصوصية "إخفاء عنوان البريد الإلكتروني" في خدمة iCloud+ من Apple، والتي تسمح للمهاجمين بتجاوز آلية الحماية والحصول على عنوان البريد الإلكتروني الحقيقي للمستخدم. الثغرة الأمنية موجودة منذ أكثر من عام ولم تقم شركة Apple بإصلاحها بعد.

من المفترض أن تسمح هذه الميزة للمستخدمين بإنشاء عناوين بريد إلكتروني عشوائية مجهولة (مثل [email protected]) لتحل محل خدمة تسجيل البريد الإلكتروني الحقيقية، ولن تكشف جميع رسائل البريد الإلكتروني المُعاد توجيهها عن العنوان الحقيقي. ومع ذلك، وفقًا لموقع 404 Media، اكتشف الباحث Tyler Murphy وفريقه هذه الثغرة الأمنية وتحققوا منها: في الاختبار، استخدموا عنوان بريد إلكتروني مخفيًا تم إنشاؤه حديثًا للاختبار، وبعد حوالي خمس دقائق، اكتشفوا بنجاح عنوان البريد الإلكتروني الحقيقي على iCloud المرتبط به.

أبلغ مورفي شركة Apple بالمشكلة لأول مرة في يونيو 2025، وقالت Apple لاحقًا إنها تحقق في الأمر. وفي مارس من هذا العام، قالت شركة أبل إنها "تمت معالجتها في التغييرات الأخيرة للنظام"، لكن ميرفي وجد أن الثغرة الأمنية لا تزال موجودة وأبلغ عنها مرة أخرى في مايو. وردت شركة آبل بأنها لا تزال تحقق في المشكلة وتخطط لإصلاحها في تحديث أمني مستقبلي، لكنها لم تقدم جدولًا زمنيًا محددًا بعد. وقال ميرفي: "لا نعرف لماذا لم يتم إصلاح الأمر بعد، لكن لا يمكننا الانتظار أكثر من ذلك". "يحق للمستخدمين الذين يستخدمون هذه الميزة معرفة أن المهاجمين قد يكتشفون عناوين البريد الإلكتروني المخفية الخاصة بهم."

تكمن خطورة هذه الثغرة الأمنية في أن مواقع الويب العامة "للبحث عن الجسد البشري" يمكنها بسهولة ربط عناوين البريد الإلكتروني بمعلومات شخصية أخرى، وقد يتعرض المستخدمون الذين يعتمدون على "عناوين البريد الإلكتروني المخفية" لحماية خصوصيتهم للخطر. في الوقت نفسه، أعلنت شركة Apple سابقًا عن خطط لنقل اسم مجال البريد الإلكتروني المجهول لهذه الميزة من @icloud.com إلى @private.icloud.com، مما سيسهل على مواقع الويب والخدمات تحديد وحظر عناوين البريد الإلكتروني المجهولة التي تم إنشاؤها بواسطة "عناوين البريد الإلكتروني المخفية"، مما يزيد من إضعاف تأثير حماية الخصوصية.