Apple đã dành nhiều năm để xây dựng một thương hiệu bảo mật và Hide My Email là trụ cột trong chiến lược đó — một tính năng trả phí iCloud+ hứa hẹn rằng địa chỉ email thật của bạn sẽ luôn được ẩn. Theo nguồn tin, nhà nghiên cứu an ninh Tyler Murphy đã phát hiện ngược lại. Anh ta phát hiện lỗ hổng vào giữa năm 2025, báo cáo cho Apple vào tháng 6 cùng năm, rồi chờ phản hồi. Apple công nhận lỗi vào tháng 7 2025 và cho rằng đã vá lỗi vào tháng 3 2026. Sau đó, 404 Media đã kiểm tra alias Hide My Email của riêng họ — vẫn còn rò rỉ. Kể từ đó, một vụ kiện tập thể đã được đề xuất, cáo buộc Apple vi phạm luật quảng cáo sai sự thật và bảo vệ người tiêu dùng của California.
Một bản vá chưa thực sự
Apple khẳng định lỗ hổng đã được khắc phục — nhưng các bài kiểm tra độc lập lại cho kết quả ngược lại.
Bạn có bao giờ cảm thấy “khóa cửa trước nhà chỉ là trang trí” không? Đó gần như là những gì đã xảy ra. Sau khi Apple thông báo với Murphy rằng lỗi đã được sửa, anh thực hiện các thử nghiệm có kiểm soát với tình nguyện viên. Kết quả: 100 % địa chỉ Hide My Email đều có thể bị khai thác. 404 Media cũng xác nhận độc lập rằng lỗi vẫn tồn tại trên các alias của họ.
Theo báo cáo, Apple đã yêu cầu Murphy không công bố các bước kỹ thuật khai thác, cho rằng bản vá sẽ xuất hiện “trong vài tuần tới”. Cả Murphy và 404 Media đều chưa tiết lộ phương pháp — một quyết định có trách nhiệm, vì lỗ hổng được cho là vẫn còn hoạt động. Hiện chưa có báo cáo nào xác nhận các cuộc tấn công thực tế. Đây là một lỗ hổng nghiêm trọng về nguyên tắc nhưng chưa có bằng chứng về thiệt hại. Hãy tưởng tượng như “súng Chekhov”: việc nó chưa bắn ra không làm giảm rủi ro.
Những gì đã được xác nhận tới hiện tại
- Murphy báo cáo lỗi cho Apple vào tháng 6 2025
- Apple khẳng định đã sửa vào tháng 3 2026; các bài kiểm tra độc lập cho thấy chưa được khắc phục
- 100 % alias được kiểm tra trong môi trường kiểm soát đều bị khai thác
- Chưa có báo cáo nào về việc khai thác thực tế
- Lỗ hổng chỉ ảnh hưởng tới lớp alias — mật khẩu và tài khoản Apple ID không bị lộ trực tiếp
Quyền riêng tư như một thương hiệu, không phải một cam kết
Một vụ kiện tập thể đề xuất khẳng định Apple tiếp tục quảng cáo tính năng bảo mật bị lỗi sau khi đã biết lỗi.
Apple đã hứa một giải pháp, nhưng vấn đề vẫn tồn tại. Đơn kiện cho rằng Apple đã biết về lỗi gần một năm mà vẫn tiếp tục quảng bá Hide My Email mà không có thông báo thích hợp. 404 Media nêu rõ: “Chúng tôi không tiết lộ chi tiết chính xác của lỗ hổng vì nó vẫn có thể bị khai thác.” Mâu thuẫn này vượt ra ngoài một lỗi duy nhất; nó là một thử nghiệm cho khả năng “riêng tư theo thiết kế” có thể mang lại sức mạnh pháp lý — hay chỉ là câu khẩu hiệu quảng cáo.
Nếu bạn là một nhà báo, nhà hoạt động hoặc luật sư đã dựa vào Hide My Email như một lớp bảo vệ an toàn thay vì chỉ là bộ lọc spam, thì các tính toán rủi ro sẽ hoàn toàn thay đổi. Vụ kiện này đẩy mạnh xu hướng — các vụ kiện liên quan tới AirTag, tranh cãi về quét nội dung trên thiết bị — nơi tòa án xem xét liệu chiến dịch tiếp thị quyền riêng tư của Apple có phản ánh đúng thực tế kỹ thuật hay không. Câu hỏi tiền lệ này có thể ảnh hưởng không chỉ tới Cupertino mà còn tới cách toàn bộ ngành công nghệ xử lý việc tiếp thị các tính năng bảo mật.
Cho đến khi Apple xác nhận một bản vá thực sự, hãy coi Hide My Email là không nên dùng cho các đăng ký nhạy cảm. Đối với các trang thương mại điện tử và bản tin, rủi ro vẫn tồn tại dù chưa chắc chắn. Vụ kiện hiện đang ở giai đoạn đề xuất tập thể, chưa có phán quyết, và Apple chưa công khai phản hồi các cáo buộc pháp lý này. Hãy chú ý đến phiên tòa phê duyệt chứng nhận tập thể, bất kỳ thông báo bản vá xác thực nào từ Apple, hoặc các bài kiểm tra tiếp theo từ các nhà nghiên cứu độc lập — đó sẽ là dấu hiệu rõ ràng nhất cho hướng đi tiếp theo.
Apple, Hide My Email, Privacy







