O Hide My Email da Apple é um dos recursos de privacidade mais discretamente populares do iCloud+. Você digita seu Apple ID em um formulário de cadastro, toca em Hide My Email em vez disso, e a Apple gera um alias aleatório, algo como [email protected], que encaminha para sua caixa de entrada real sem nunca revelá-la ao site em que você está se cadastrando. Milhões de pessoas usam esse recurso justamente para que um vazamento em algum fórum ou loja não entregue aos atacantes seu endereço de e-mail real.
Segundo reportagem do 404 Media, essa promessa não se sustentou. O pesquisador de segurança Tyler Murphy, cofundador da empresa de privacidade de e-mail EasyOptOuts, relatou à Apple em junho de 2025 que os endereços do Hide My Email podiam ser revertidos para expor o endereço real por trás deles. Em testes feitos com voluntários, a técnica funcionou em 100% dos endereços testados, e o 404 Media confirmou isso contra um dos próprios aliases em questão de minutos. Mais de um ano após o relato inicial, e depois de várias rodadas em que a Apple afirmou que o problema havia sido “resolvido em uma mudança recente do sistema” apenas para Murphy descobrir que não era o caso, a falha aparentemente continuava explorável nesta mesma semana. O 404 Media não divulgou o mecanismo técnico exato para evitar entregar um exploit funcional enquanto ele permanece ativo.
O Recurso Funcionava Exatamente Como Prometido, Até Parar de Funcionar
O Hide My Email nunca foi projetado para autenticar nada. Foi projetado para ocultar um fato específico: qual caixa de entrada real está por trás de um determinado alias. É uma promessa restrita e útil, e durante a maior parte da vida do recurso ela parece ter se sustentado. O que essa divulgação mostra é o quanto pode depender dessa única promessa restrita assim que ela se quebra. Um endereço de relay que silenciosamente se reverte para sua caixa pessoal ou de trabalho não apenas vaza um endereço. Ele remove a camada que estava entre um cadastro anônimo e uma lista de alvos que um atacante pode usar para spear phishing, credential stuffing ou uma tentativa de comprometimento de e-mail corporativo construída especificamente em torno de saber para qual caixa mirar.
Essa distinção importa mais do que parece. Qualquer pessoa que confiasse no Hide My Email, ou em um serviço de alias semelhante, para manter o anonimato estava confiando em uma camada de ofuscação, não em uma camada de autenticação. A ofuscação pode falhar em silêncio. Um endereço real exposto por meio de um alias revertido parece idêntico, do lado do destinatário, a um endereço real obtido de qualquer outra forma. Nada na falha é visível para a pessoa a quem ela acontece, e é exatamente por isso que foi preciso mais de um ano e pressão da imprensa externa para conseguir avançar rumo a uma correção.
Por Que Isso É uma História de Segurança de Domínio, Não Apenas de Privacidade
Assim que um atacante tem um endereço real verificado, e sabe a qual domínio esse endereço pertence, seja um Gmail pessoal ou uma conta corporativa vinculada ao domínio de uma empresa, o próximo passo é previsível. Eles enviam e-mails que parecem vir de um colega, de um banco ou da própria empresa, direcionados exatamente àquele endereço. Se esse e-mail parece uma falsificação convincente ou é rejeitado como uma farsa óbvia depende inteiramente de algo que o Hide My Email nunca foi construído para tocar: se o domínio que está sendo falsificado tem a aplicação do DMARC em vigor.
Esse é o padrão que vale a pena internalizar. As ferramentas de privacidade de endereço reduzem a frequência com que seu endereço acaba em uma lista de alvos, para começar. A autenticação de domínio determina o que acontece depois que isso ocorre. As duas coisas importam, e nenhuma substitui a outra. Uma empresa que nunca teve um e-mail vazado ainda pode ser falsificada por qualquer pessoa que adivinhe seu domínio a partir de um cartão de visita, e uma pessoa cujo alias do Hide My Email acabou de ser revertido está tão protegida quanto permitir a política DMARC do domínio que o atacante agora tenta falsificar para alcançá-la.
O Que Realmente Muda para os Donos de Domínio
Nada dessa falha específica se resolve com um registro DMARC. Ela vive inteiramente do lado da Apple, em como o iCloud+ gera e resolve os endereços de relay, e a única mitigação real por enquanto é ter cautela ao supor que um alias do Hide My Email é impossível de vincular enquanto ele permanecer sem correção. Mas o incidente é um bom motivo para revisar a outra metade da equação. Se o domínio da sua organização não aplica o DMARC em p=reject ou p=quarantine, cada endereço real que vaza em qualquer lugar, por essa falha, por um data broker, por um fornecedor comprometido, se torna um endereço que alguém pode usar para falsificar seu domínio e alcançá-lo, sem nenhum protocolo no caminho.
Incidentes de exposição de endereço vão continuar acontecendo. Serviços de alias são revertidos, vazamentos são divulgados meses depois de ocorrerem, data brokers continuam operando. A única parte dessa cadeia que um dono de domínio realmente controla é se o e-mail que afirma vir do seu domínio, uma vez que um atacante tem um alvo para enviá-lo, é rejeitado antes de chegar a uma caixa de entrada.
A Conclusão
Um recurso de privacidade que funcionou por anos falhou em silêncio, e foi preciso um pesquisador de segurança, mais de um ano e pressão da imprensa externa para que a Apple levasse isso a sério. Isso é um lembrete de que qualquer camada construída sobre ocultar um endereço em vez de autenticar um domínio é uma camada que pode falhar sem que ninguém perceba até que seja relatada. Ocultar seu endereço é um bom hábito. Não é uma defesa. A defesa é garantir que, seja qual for o domínio que alguém tente falsificar depois de encontrar esse endereço, o seu ou o da sua empresa, seja um domínio que o DMARC realmente proteja.
Você não pode controlar todas as formas pelas quais seu endereço pode vazar. Você pode controlar se o seu domínio pode ser falsificado quando isso acontecer. Cadastre-se gratuitamente na Excello Mail e coloque a aplicação do DMARC e relatórios contínuos no seu domínio, para que um endereço vazado nunca vire uma falsificação bem-sucedida.