Jimin Kim/SOPA Images via ZUMA P / DPA - Arquivo
MADRID 2 jul. (Portaltic/EP) -
A Apple ainda não corrigiu uma vulnerabilidade do recurso “Ocultar meu e-mail”, que permite que qualquer pessoa descubra o endereço de e-mail de um usuário da Apple e que foi inicialmente identificada por um pesquisador em 2025.
A empresa de tecnologia permite que os usuários do iCloud+ criem um endereço de e-mail anônimo para não revelar o endereço principal ao se cadastrarem em aplicativos ou sites que suportam o recurso “Entrar com a Apple”.
Esse endereço é criado com o recurso “Ocultar meu e-mail” nas Configurações, que gera um endereço de e-mail único e aleatório que encaminha as mensagens automaticamente para a caixa de entrada da conta pessoal configurada.
Dessa forma, oferece-se mais segurança para o endereço de e-mail real do usuário, evitando que ele caia nas mãos de empresas, anunciantes ou agentes mal-intencionados, ou que o anonimato da pessoa seja associado a uma identidade real.
Embora seja um recurso projetado especificamente para ocultar o endereço de e-mail, foi identificada uma vulnerabilidade que facilita exatamente o contrário. Ela permite que qualquer pessoa descubra o endereço de e-mail real dos usuários, por trás dos endereços gerados aleatoriamente.
Trata-se de uma falha que continua presente até hoje, apesar de ter sido descoberta inicialmente há mais de um ano pelo cofundador do serviço de eliminação de dados EasyOptOuts, Tyler Murphy, que já a havia identificado em junho de 2025, quando a relatou diretamente à Apple.
Na ocasião, a Apple respondeu que estava investigando o problema e, em março deste ano, informou a Murphy que a vulnerabilidade havia finalmente sido resolvida com uma alteração no sistema.
Após realizar novos testes, Murphy relatou que a falha continua ativa, ao que a empresa admitiu, em maio passado, que o problema ainda estava sob investigação. Na verdade, ela pediu a Murphy que mantivesse os detalhes em segredo.
O veículo de mídia norte-americano 404 Media confirmou agora com o pesquisador que a vulnerabilidade ainda existe, por meio de uma série de testes nos quais, em questão de minutos, foi possível obter o endereço de e-mail real do iCloud vinculado à conta utilizada para o teste.
No entanto, a falha que aciona a vulnerabilidade não foi divulgada pelo veículo para evitar que seja explorada em massa e devido às implicações que isso pode acarretar, já que, ao descobrir o endereço de e-mail real de um usuário, ele pode ser utilizado em ferramentas de busca de pessoas ou em bancos de dados.
Isso significa que, entre outros dados, poderiam ser revelados desde o nome ou número de telefone até o endereço físico do usuário, por meio desse tipo de serviço.
“Não sabemos a extensão total do problema, mas em nossos testes limitados com voluntários, todos os endereços da opção ‘Ocultar meu e-mail’ estavam vulneráveis”, afirma Murphy em declarações feitas à 404 Media.
Esta notícia foi traduzida por um tradutor automático