This post is also available in:
שירותי הסתרת כתובות דואר אלקטרוני הפכו בשנים האחרונות לכלי פופולרי להגנה על פרטיות המשתמשים. במקום למסור את כתובת הדואר האישית לכל אתר או יישום, המשתמש מקבל כתובת חלופית שנוצרת באופן אקראי ומעבירה את ההודעות אל תיבת הדואר האמיתית שלו. אם הכתובת החלופית מתחילה לקבל הודעות זבל או נחשפת, ניתן פשוט לבטל אותה מבלי להשפיע על כתובת הדואר הראשית.
אחד השירותים המוכרים בתחום הוא "הסתר את כתובת הדואר שלי" (Hide My Email) של אפל. אולם כעת טוען חוקר אבטחה כי מנגנון ההגנה כולל חולשה העלולה לאפשר לתוקף לחשוף את כתובת הדואר האמיתית שאותה נועד השירות להסתיר.
על פי דיווח של Cyber News, החולשה טרם תוקנה, למרות שדווחה לחברה לפני יותר משנה.
השירות פועל באמצעות יצירת כתובת דואר ייחודית עבור כל אתר או שירות. במקום לחשוף את כתובת הדואר האמיתית של המשתמש, ההודעות נשלחות לכתובת החלופית ומועברות ממנה באופן אוטומטי לחשבון המקורי. כך מצטמצמים מעקב אחר המשתמש, דואר זבל וחשיפת פרטי הקשר האישיים.
על פי הדיווח, החולשה החדשה עשויה לאפשר לחשוף את כתובות הדואר המוסתרות בתנאים מסוימים. החוקר נמנע מלפרסם את הפרטים הטכניים, בהתאם לעקרונות של גילוי אחראי, אולם דווח כי גוף עצמאי אימת את קיומה של הבעיה מבלי לחשוף מידע שעלול להקל על ניצולה.
החוקר דיווח לראשונה על החולשה ביוני 2025. לפי ציר הזמן שפורסם, בהמשך הודיעה אפל כי הבעיה טופלה באמצעות שינויים שבוצעו במערכת במרץ 2026. עם זאת, בדיקות נוספות שבוצעו לאחר מכן העלו כי החולשה עדיין קיימת.
לפי הדיווחים, החברה המשיכה לחקור את הממצא וביקשה מהחוקר שלא לחשוף פרטים נוספים בזמן שהיא עובדת על עדכון אבטחה עתידי. נכון למועד הפרסום, טרם אושר באופן רשמי כי פורסם תיקון לבעיה.
התפתחות נוספת עשויה להשפיע גם על נוחות השימוש בשירות. אפל הודיעה בעבר על כוונתה לאחד את כל הכתובות החלופיות תחת הדומיין @private.icloud.com. אף שהמהלך נועד לפשט את המערכת, יש מי שחוששים שאתרים מסוימים עלולים לחסום כתובות מהדומיין החדש, ובכך להפחית את השימושיות של השירות.
מנקודת מבט של סייבר ופרטיות, שירותי הסתרת כתובות דואר ממלאים תפקיד חשוב בצמצום החשיפה של מידע אישי. הסתרת כתובת הדואר האמיתית מסייעת להפחית את הסיכון למתקפות פישינג, לקמפיינים של דואר זבל, לקישור בין זהויות מקוונות ולמתקפות הנדסה חברתית ממוקדות.
החולשה שדווחה ממחישה כי גם טכנולוגיות שנועדו לשפר את הפרטיות מחייבות בדיקות אבטחה מתמשכות. אפילו מנגנונים שתוכננו במיוחד כדי להסתיר מידע רגיש צריכים לעבור בחינה קפדנית כדי להבטיח שהם ממשיכים לספק את רמת ההגנה שהמשתמשים מצפים לה.


























