Apple iCloud+ 的「隱藏我的電郵」(Hide My Email)功能被揭發存在嚴重隱私漏洞,允許攻擊者還原用戶真實電郵地址,問題自 2025 年 6 月已被安全研究員報告,至今逾一年仍未修復。7 月 1 日經科技媒體公開披露後,7 月 16 日有加州用戶正式提出集體訴訟,指控 Apple 長期明知問題卻繼續誤導消費者,宣傳該功能能有效保護隱私,同時從 iCloud+ 訂閱及產品溢價中獲利。

Apple 早已接獲報告
漏洞由隱私與數據移除服務 EasyOptOuts 聯合創辦人 Tyler Murphy 於 2025 年 6 月 發現。他直接向 Apple 報告問題,並提供重現步驟。Apple 約一個月後回覆表示會調查。
今年 3 月,Apple 告知 Murphy 問題已透過系統更新「修復」。但 Murphy 重新測試後發現漏洞依然存在。5 月底,Apple 表示將在「未來數週」的安全更新中處理問題,並要求 Murphy 暫時不要公開披露。
由於修復遲遲未到,Murphy 最終聯絡 404 Media 進行公開披露。該媒體記者 Joseph Cox 於 7 月 1 日發表報導,並親自驗證:使用新生成的「隱藏我的電郵」地址,能在短時間內成功還原出真實電郵。在 Murphy 與志願者的有限測試中,所有測試地址均可被破解。
404 Media 與 Murphy 均未公開技術細節,以免漏洞被惡意利用。報導發表後,問題迅速引發業界關注。

漏洞如何運作與影響
「隱藏我的電郵」是 Apple 的隱私功能,用戶可生成隨機的 @icloud.com(或較新的 private.icloud.com)別名電郵地址,用於註冊 App、網站或電子報,收到的郵件會自動轉寄至用戶真實收件匣,旨在避免個人電郵地址外洩。
然而,此漏洞允許攻擊者透過別名電郵,還原出用戶真實電郵地址。雖然漏洞本身不會導致 Apple 帳戶被入侵,但真實電郵一旦曝光,用戶可能面臨:
- 大量垃圾郵件與釣魚攻擊
- 透過公開人物搜尋網站交叉比對,進一步洩露姓名、其他帳戶等個人資料
對原本依賴此功能保護隱私或避免騷擾的用戶而言,風險尤其顯著。
集體訴訟內容
當地時間 7 月 16 日,加州居民 Anthony Alvarez 以個人及集體名義,在加州法院提出集體訴訟。訴訟代表所有使用過「隱藏我的電郵」功能的 Apple 用戶,包括美國全國範圍及加州子集,以及 iCloud+ 訂閱者。
訴訟核心指控包括:
- Apple 明知漏洞存在逾一年,卻未及時修復;
- 繼續透過 iCloud+ 訂閱費(每月港幣 $8 起)及強調「增強隱私保護」的產品溢價獲利;
- 向消費者宣傳「隱藏我的電郵」能「隱藏個人電郵地址」,卻未披露實際風險,構成誤導
原告表示,自己及其他用戶正是為了獲得 Apple 承諾的隱私保護而付費,卻未能得到應有的保障。訴訟還引用 Apple 過往類似案例,例如 2023 年曾有報導指出其隨機 MAC 地址功能長達三年失效。

訴訟要求陪審團審理、賠償損失(集體索償額超過 $500 萬美元,不包括利息及律師費),並請求法院命令 Apple 修復功能或清楚向用戶披露其限制。
截至發稿,Apple 尚未就此集體訴訟作出公開回應。
用戶點算好?
「隱藏我的電郵」功能可透過「以 Apple 登入」免費使用,或作為 iCloud+ 訂閱的一部分提供更進階管理。事件曝光後,再次凸顯科技公司隱私承諾與實際執行之間可能存在的落差。
受影響用戶可考慮:
- 檢查並管理已生成的「隱藏我的電郵」地址
- 對重要服務改用獨立電郵或更嚴格的隱私工具
- 留意帳戶異常登入或垃圾郵件增加的情況
目前漏洞仍處於可被利用狀態,用戶應提高警覺。在訴訟壓力下,預計 Apple 需盡快推出有效修復,以恢復用戶對其隱私功能的信任。



