Lỗ hổng Apple Hide My Email có thể làm lộ địa chỉ email thật của người dùng
- Evelyn Carter

- 3 thg 7
- 4 phút đọc
Apple đang đối mặt với một vấn đề mới liên quan đến tính năng bảo vệ quyền riêng tư Hide My Email trên dịch vụ iCloud+. Theo nhà nghiên cứu bảo mật Tyler Murphy và kết quả xác minh từ 404 Media, lỗ hổng hiện có thể khiến địa chỉ email thật của người dùng bị truy ngược từ email ẩn danh. Điều đáng chú ý là lỗi này được cho là vẫn tồn tại dù đã được báo cáo cho Apple từ hơn một năm trước.
Một lỗ hổng được phát hiện trong tính năng Hide My Email của Apple có thể cho phép xác định địa chỉ email thật đứng sau các địa chỉ email ẩn danh. Theo báo cáo, vấn đề đã được gửi tới Apple hơn một năm trước nhưng vẫn chưa được khắc phục. Thử nghiệm độc lập của 404 Media cũng xác nhận lỗ hổng vẫn có thể bị khai thác tại thời điểm kiểm tra.
Hide My Email là gì và vì sao lỗ hổng này đáng lo ngại?
Hide My Email là một tính năng thuộc gói iCloud+, cho phép người dùng tạo các địa chỉ email chuyển tiếp ngẫu nhiên để đăng ký tài khoản hoặc sử dụng dịch vụ trực tuyến mà không cần tiết lộ email chính.
Theo Tyler Murphy, cơ chế này đang tồn tại một điểm yếu khiến những địa chỉ email vốn được thiết kế để ẩn danh có thể bị truy ngược về địa chỉ email thật.
Đáng chú ý, việc khai thác không đòi hỏi quyền truy cập đặc biệt hay kỹ thuật quá phức tạp, đồng nghĩa với việc ngay cả những đối tượng có kiến thức kỹ thuật hạn chế cũng có khả năng lợi dụng lỗ hổng này.

Lỗ hổng đã được báo cáo cho Apple từ khi nào?
EasyOptOuts cho biết đã phát hiện lỗ hổng và gửi đầy đủ hướng dẫn tái hiện lỗi cho Apple theo quy trình công bố có trách nhiệm từ hơn một năm trước.
Tuy nhiên, đến thời điểm 404 Media tiến hành kiểm tra độc lập, lỗ hổng vẫn có thể khai thác thành công trên một địa chỉ Hide My Email do chính đơn vị này tạo ra. Murphy cho biết nhóm nghiên cứu quyết định công khai sự tồn tại của vấn đề nhưng không tiết lộ chi tiết kỹ thuật nhằm hạn chế nguy cơ bị lạm dụng trước khi Apple phát hành bản vá.
Người dùng có thể đối mặt với những rủi ro nào?
Hide My Email được nhiều người sử dụng để hạn chế thư rác, giảm theo dõi trực tuyến và tách biệt danh tính giữa các dịch vụ.
Nếu địa chỉ email thật có thể bị suy ra từ email ẩn danh, lớp bảo vệ quyền riêng tư này sẽ bị suy yếu. Báo cáo cho biết điều đó có thể làm gia tăng nguy cơ lừa đảo có chủ đích (phishing), liên kết danh tính giữa nhiều tài khoản và làm giảm tính ẩn danh đối với các tài khoản phục vụ những hoạt động nhạy cảm.
Bên cạnh đó, do việc khai thác không yêu cầu đặc quyền hệ thống hay quyền truy cập nội bộ, nguy cơ không chỉ đến từ các nhóm tấn công chuyên nghiệp mà còn có thể xuất phát từ những đối tượng thông thường có khả năng dò quét các địa chỉ Hide My Email.
Người dùng nên lưu ý điều gì?
Theo Tyler Murphy, trong khi Apple chưa phát hành bản vá, người dùng không nên mặc định rằng các địa chỉ Hide My Email luôn tách biệt hoàn toàn với địa chỉ email chính.
Báo cáo cũng khuyến nghị các nhóm người dùng có yêu cầu cao về quyền riêng tư như nhà báo, nhà hoạt động hoặc những người có nguy cơ cao nên xem các địa chỉ Hide My Email là có khả năng bị liên kết với email thật và điều chỉnh các biện pháp bảo vệ tài khoản cho phù hợp.
Giải pháp nào cho việc bảo vệ “lá chắn số” của doanh nghiệp?
Để bảo vệ hệ thống công nghệ thông tin và nâng cao năng lực an toàn thông tin trước các chiến dịch tấn công nhắm mục tiêu tinh vi. IPSIP Việt Nam cung cấp các giải pháp bảo mật toàn diện, giám sát an ninh mạng chuyên nghiệp và dịch vụ ứng cứu sự cố kịp thời, giúp doanh nghiệp vững tâm phát triển kinh doanh.

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.
Vụ việc của Nissan cho thấy chiến dịch khai thác lỗ hổng CVE-2026-35273 trên Oracle PeopleSoft đang ảnh hưởng đến nhiều tổ chức và doanh nghiệp. Hiện Nissan vẫn tiếp tục điều tra để xác định chính xác phạm vi rò rỉ dữ liệu, đồng thời triển khai nhiều biện pháp nhằm bảo vệ thông tin của nhân viên và giảm thiểu rủi ro từ sự cố này.
Nguồn tham khảo










Bình luận