Apple'ın milyonlarca iCloud+ abonesinin gerçek gelen kutularını gizlemek için kullandığı Hide My Email özelliğindeki bir güvenlik açığı, saldırganların bu gizli adresleri ortaya çıkarmasına olanak tanıyor ve şirket bu hatayı bir yıldan uzun süredir düzeltemedi.
"Hide My Email kullanıcıları, saldırganların gizli e-posta adreslerini keşfetmesinin mümkün olabileceğini bilmeyi hak ediyor," dedi veri temizleme hizmeti EasyOptOuts'un kurucu ortağı Tyler Murphy, 404 Media'ya.
Murphy, hatayı Haziran 2025'te keşfetti ve Apple'a bildirdi. Şirket bir ay sonra konuyu araştırdığını söyleyerek yanıt verdi. Mart 2026'da Apple, sorunun bir sistem değişikliğiyle çözüldüğünü iddia etti, ancak Murphy güvenlik açığının hala kullanılabilir olduğunu tespit etti. Gönüllülerle yapılan testlerde, Hide My Email adreslerinin yüzde 100'ünün savunmasız olduğu, 404 Media'nın kendi doğrulamasına göre tespit edildi.
Bu hata, Apple'ın iCloud+ hizmetinin temel satış noktalarından birini zayıflatıyor. iCloud+, Hide My Email, iCloud Private Relay ve HomeKit Secure Video gibi gizlilik özellikleri için abonelerden ücret alıyor. Apple hisseleri, ileriye dönük kazançların yaklaşık 30 katından işlem görürken, iCloud aboneliklerini de içeren hizmet gelirleri 2025 mali yılında 26,3 milyar dolara ulaşarak, donanım satışlarının yavaşladığı bir dönemde bu segmenti kilit bir büyüme itici gücü haline getiriyor.
Murphy'ye göre güvenlik açığı, bir Hide My Email takma adına erişimi olan herkesin, dakikalar içinde bunu kullanıcının gerçek Apple ID e-posta adresine kadar geri izlemesine olanak tanıyor. Herkese açık kişi arama siteleri daha sonra bu e-postayı telefon numaraları ve fiziksel adresler gibi diğer kişisel bilgilerle ilişkilendirmeyi kolaylaştırarak gizlilik riskini Apple'ın ekosisteminin ötesine taşıyor.
Apple, bu açığın teknik detaylarını açıklamadı ve 404 Media, aktif istismarı önlemek için ayrıntıları gizli tuttu. Yayın organı, hatanın 1 Temmuz 2026 itibarıyla hala canlı olduğunu, kendi oluşturduğu adreslerden birini kullanarak sorunu doğruladığında teyit etti.
Bu, Apple'ın gizlilik vaatlerinin ilk kez yetersiz kaldığı durum değil. 2022'de şirket, iPhone uygulamalarının iPhone Analytics ayarı kapalıyken bile Apple'a analitik verileri göndermeye devam etmesi nedeniyle bir toplu dava ile karşı karşıya kalmıştı. 2023'te araştırmacılar, Apple'ın kullanıcıları Wi-Fi ağlarında anonimleştirmek için tasarlanan MAC adresi rastgeleleştirme özelliğinin, aslında gerçek MAC adresini ifşa ettiğini bulmuştu.
Zamanlama, hasarı daha da artırıyor. Haziran 2026'da Apple, geliştiricilere @icloud.com alan adıyla Hide My Email adresleri oluşturmayı durduracağını ve @privaterelay.appleid.com'a geçeceğini söyledi. TechCrunch'ın bildirdiğine göre bu değişiklik, web sitelerinin anonim kayıtları engellemesini kolaylaştıracak. Alan adı değişikliği, çözülmemiş güvenlik açığıyla birleştiğinde, Apple'ın özelliğin temel gizlilik vaadine olan bağlılığı hakkında soru işaretleri yaratıyor.
Yatırımcılar için itibar riski maddi düzeydedir. Apple, marka primini gizlilik üzerine inşa etmiş durumda. CEO Tim Cook, gizliliği defalarca "temel bir insan hakkı" olarak nitelendirdi. Bu güvenin sürekli aşınması, 2025 mali yılında 26,3 milyar dolar gelir elde eden ve toplam gelirin yaklaşık yüzde 22'sini oluşturan hizmetler segmentine katkıda bulunan iCloud+ abonelik büyümesini baskılayabilir. Apple, yorum talebine yanıt vermedi.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımamaktadır.