Một lỗ hổng trong tính năng Hide My Email của Apple, được hàng triệu người dùng iCloud+ sử dụng để che giấu hộp thư thật, đã cho phép kẻ tấn công phát hiện những địa chỉ đã bị che giấu — và công ty đã không vá lỗi này trong hơn một năm.
"Những người dùng Hide My Email xứng đáng được biết rằng kẻ tấn công có thể phát hiện địa chỉ email đã bị che giấu của họ," Tyler Murphy, đồng sáng lập dịch vụ xóa dữ liệu EasyOptOuts, nói với 404 Media.
Murphy phát hiện ra lỗi này vào tháng 6/2025 và đã báo cáo cho Apple. Công ty đã phản hồi một tháng sau đó cho biết đang điều tra. Vào tháng 3/2026, Apple tuyên bố vấn đề đã được giải quyết thông qua một thay đổi trong hệ thống, nhưng Murphy phát hiện lỗ hổng vẫn có thể khai thác được. Trong các thử nghiệm với tình nguyện viên, 100% địa chỉ Hide My Email đều bị tổn thương, theo xác nhận của chính 404 Media.
Lỗ hổng này làm suy yếu một điểm bán hàng cốt lõi của dịch vụ iCloud+ của Apple, nơi tính phí người dùng đăng ký cho các tính năng bảo mật bao gồm Hide My Email, iCloud Private Relay và HomeKit Secure Video. Cổ phiếu Apple đang giao dịch ở mức gấp khoảng 30 lần thu nhập dự phóng, với doanh thu dịch vụ — bao gồm đăng ký iCloud — đạt 26,3 tỷ đô la trong năm tài chính 2025, biến mảng này thành động lực tăng trưởng chính khi doanh số phần cứng chậm lại.
Lỗ hổng cho phép bất kỳ ai có quyền truy cập vào bí danh Hide My Email có thể truy vết ngược về địa chỉ email Apple ID thật của người dùng trong vòng vài phút, Murphy cho biết. Các trang web tra cứu thông tin cá nhân công khai sau đó dễ dàng kết nối email đó với các thông tin cá nhân khác như số điện thoại và địa chỉ nhà, làm gia tăng rủi ro về quyền riêng tư vượt ra ngoài hệ sinh thái của Apple.
Apple chưa tiết lộ chi tiết kỹ thuật của lỗ hổng, và 404 Media đã giữ lại thông tin cụ thể để ngăn chặn việc khai thác tích cực. Tờ báo xác nhận lỗi vẫn còn tồn tại tính đến ngày 1/7/2026, khi họ xác minh vấn đề bằng một trong các địa chỉ do chính mình tạo ra.
Đây không phải lần đầu tiên những cam kết về quyền riêng tư của Apple không đạt được kỳ vọng. Năm 2022, công ty phải đối mặt với một vụ kiện tập thể sau khi các ứng dụng iPhone tiếp tục gửi dữ liệu phân tích đến Apple ngay cả khi cài đặt iPhone Analytics bị tắt. Năm 2023, các nhà nghiên cứu phát hiện ra rằng tính năng ngẫu nhiên hóa địa chỉ MAC của Apple — được thiết kế để ẩn danh người dùng trên mạng Wi-Fi — thực chất lại đang làm lộ địa chỉ MAC thật.
Thời điểm càng làm trầm trọng thêm thiệt hại. Vào tháng 6/2026, Apple thông báo với các nhà phát triển rằng họ sẽ ngừng tạo địa chỉ Hide My Email với tên miền @icloud.com và chuyển sang @privaterelay.appleid.com, một thay đổi mà TechCrunch đưa tin sẽ khiến các trang web dễ dàng chặn các đăng ký ẩn danh hơn. Sự thay đổi tên miền, kết hợp với lỗ hổng chưa được giải quyết, đặt ra câu hỏi về cam kết của Apple đối với lời hứa bảo mật cốt lõi của tính năng này.
Đối với các nhà đầu tư, rủi ro về danh tiếng là rất đáng kể. Apple đã xây dựng thương hiệu cao cấp của mình xoay quanh quyền riêng tư, với Giám đốc điều hành Tim Cook nhiều lần gọi đó là "quyền cơ bản của con người." Sự xói mòn niềm tin đó có thể gây áp lực lên tăng trưởng đăng ký iCloud+, vốn đóng góp vào mảng dịch vụ tạo ra 26,3 tỷ đô la doanh thu trong năm tài chính 2025 — khoảng 22% tổng doanh thu. Apple đã không trả lời yêu cầu bình luận.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.