Apple steht erneut in der Kritik: Diese Woche wurde das Unternehmen wegen einer angeblichen Sicherheitslücke in der Funktion „Hide My Email“ verklagt. Laut der geplanten Sammelklage soll Apple gegen kalifornische Verbraucherschutzgesetze verstoßen haben, indem es eine Funktion beworben habe, die nicht wie versprochen funktioniere.
Im Kern geht es um den Vorwurf, dass die echte E-Mail-Adresse von Nutzern und Nutzerinnen unter bestimmten Umständen preisgegeben werden könnte, was ein schwerwiegender Vertrauensbruch für eine Funktion, die explizit Datenschutz und Anonymität verspricht, wäre.
Die entsprechende Sicherheitslücke war Apple im Juni 2025 gemeldet worden. Bisher gibt es jedoch keine bekannten Fälle, in denen sie ausgenutzt wurde. Die genauen Schritte, die für einen Missbrauch nötig wären, wurden aus Sicherheitsgründen nicht öffentlich gemacht. Die Lücke in Apples Dienst „Hide My Email“ hatte es Angreifern ermöglicht, die eigentlichen E-Mail-Adressen hinter generierten Aliasen aufzuspüren.
Wie 404 Media berichtete, bestätigte sich das Problem in Tests: 100 Prozent der getesteten Alias-Adressen waren anfällig. Der Sicherheitsforscher Tyler Murphy, Mitbegründer von EasyOptOuts, hatte die Schwachstelle bereits im Juni 2025 an Apple gemeldet, inklusive Anleitung zur Reproduktion. Apple bestätigte den Fehler.
Apple reagierte, aber die Lücke bleibt
Obwohl Apple Murphy im März 2026 mitteilte, das Problem sei durch eine „kürzliche Systemänderung“ behoben, zeigte sich: Die Lücke bestand weiter. Murphy lieferte zusätzliche Beweise, doch Apple blieb bei der Aussage, man untersuche den Fall noch. Selbst die Bitte, zumindest die Erstellung neuer Alias-Adressen vorläufig zu stoppen, um die User zu schützen, blieb unbeantwortet. Erst Ende Mai kündigte Apple an, ein Sicherheitsupdate in den „kommenden Wochen“ zu veröffentlichen, doch bis heute gibt es keine konkreten Anzeichen für eine Behebung.
„Hide My Email“ soll eigentlich die echte E-Mail-Adresse vor Spam, Datenlecks und Identifizierung schützen, beispielsweise bei der Anmeldung von Diensten oder der Korrespondenz mit Dritten. Doch durch öffentlich zugängliche Personensuchseiten können Angreifer die aufgedeckten Adressen leicht mit weiteren persönlichen Daten verknüpfen. Murphy warnte damals, wer sich auf den Dienst verlasse, könne unbewusst einem höheren Risiko ausgesetzt sein als gedacht.


Wer sich ein ganzes Jahr nicht um so eingravierendes Problem kümmert, zeigt wie wichtig ihm die Sicherheit der Nutzer ist und hat so eine Klage verdient.