Apple’ın E-postamı Gizle hatasındaki bir güvenlik açığı, milyonlarca iCloud Plus abonesini potansiyel olarak savunmasız bıraktı — gerçek e-posta adresleri, temel bir kimlik arama aracı kullanmaya istekli herkes için sessizce görünür durumda. Bu teorik bir risk değil. Easy Opt Out’un kurucu ortağı Tyler Murphy’ye göre, test edilen her bir E-postamı Gizle adresi istismar edilebilirdi.
Summary
Öne çıkanlar
- Apple’ın E-postamı Gizle hizmetindeki bir güvenlik açığı, herkesin herkese açık kimlik arama araçlarını kullanarak bir kullanıcının gerçek e-posta adresini ortaya çıkarmasına olanak tanıyor.
- Easy Opt Out’tan Tyler Murphy, hatayı Haziran 2025’te Apple’a bildirdi; Apple Mart 2026’da bir düzeltme yaptığını iddia etti, ancak güvenlik açığı devam etti.
- Gönüllüler üzerinde yapılan testler, test edilen tüm E-postamı Gizle adreslerinde %100 istismar oranı gösterdi.
- Apple, icloud.com alan adından private.icloud.com alan adına geçiş de dahil olmak üzere güncellemeler planladı, ancak tam bir düzeltme için zaman çizelgesi belirsizliğini koruyor.
- Uzmanlar, sorun çözülene kadar iCloud Plus abonelerine E-postamı Gizle özelliğini geçici olarak kullanmayı bırakmalarını tavsiye ediyor.
Güvenlik Açığı, Apple’ın E-postamı Gizle Özelliğinde Gerçek E-postaları Ortaya Çıkarıyor
E-postamı Gizle, basit bir vaade dayanıyor: icloud.com alan adı altında tek kullanımlık bir takma ad kullanarak bir web sitesine kaydoluyorsunuz ve gerçek gelen kutunuz görünmez kalıyor. Takma ad spam’i emer, planlandığı gibi süresi dolar ve kimliğinizi temiz tutar. Giriş seviyesinde ayda yaklaşık bir dolara mal olan iCloud Plus için bu, sağlam bir gizlilik hijyeni gibi görünüyor.
Bu vaatte ciddi bir çatlak var. İlk kez güvenlik açığını bildiren ve doğrulayan 404 Media’ya konuşan Murphy, herkese açık kişi arama sitelerinin bir E-postamı Gizle adresini diğer kişisel ayrıntılarla ilişkilendirmeyi kolaylaştırdığını söyledi; bu da, yeterince motive olan herhangi birinin — bir veri komisyoncusu, bir takipçi, bir dolandırıcı — bir takma addan gerçek gelen kutusuna geri gitmek için sofistike bilgisayar korsanlığı becerilerine ihtiyaç duymadığı anlamına geliyor.
Easy Opt Out, gönüllülerle kontrollü testler gerçekleştirdi ve sonuçlar çarpıcıydı: test edilen E-postamı Gizle adreslerinin %100’ü, genel kullanıma açık kimlik arama araçları kullanılarak kullanıcının gerçek e-posta adresini ortaya çıkarmak için kullanılabildi. Murphy, istismarın tam mekaniklerini kamuya açık şekilde açıklamayı reddetti ve 404 Media, derhal kitlesel istismarı önlemek için haberin yapıldığı sırada teknik ayrıntıları saklı tuttu.
Özelliğin doğası gereği sonuçları görmezden gelmek daha da zor. E-postamı Gizle, tam da ifşanın gerçek sonuçlar doğurduğu durumlar için var — daha sonra ihlal edilebilecek hizmetlere kaydolmak, veri komisyoncularının görünürlüğünü sınırlamak, kullanıcıları hassas koşullarda korumak. Murphy özellikle, “güvenlik için E-postamı Gizle’ye güvenen kişilerin risk altında olabileceği” konusunda uyardı; bu ifade, durumu niş bir teknik sorunun ötesine taşıyor.
Keşif, Bildirim ve Apple’ın Yanıt Zaman Çizelgesi
Haziran 2025’te erken keşif ve bildirim
Murphy, güvenlik açığı konusunda Apple’ı ilk kez Haziran 2025’te — kamuya açıklamadan bir yıldan fazla bir süre önce — uyardı. Bu zaman çizelgesinin kendisi bile üzerinde durmaya değer. Aktif ticari kullanımda olan bir gizlilik özelliği, bilinen ve doğrulanmış bir güvenlik açığıyla, kullanıcıların maruz kaldığı koca bir yıl boyunca yamalanmadan kaldı.
Apple’ın Mart 2026 düzeltme iddiası ve hatanın devam etmesi
Mart 2026’da Apple, sorunun giderildiğini Murphy’ye bildirdi. Murphy kontrol etti. Giderilmemişti. Apple’ın düzeltme iddiasının ardından güvenlik açığı hâlâ tamamen istismar edilebilirdi; bu da, bu güvenceyi önceleyen dahili testlerin ne kadar titiz olduğu konusunda soru işaretleri yarattı.
Kamuya açıklama konusunda anlaşmazlık
Mayıs 2026’ya gelindiğinde Apple, hâlâ soruşturma yürüttüğünü kabul etti ve Murphy’den kamuya açıklamayı ertelemesini istedi. Apple’ın mesajı netti: “Müşterilerimizi riske atmamak için, soruşturmamız tamamlanana kadar bu bilgiyi açıklamamanızı rica ederiz.” Murphy aynı fikirde değildi. Yine de kamuya açıkladı ve bir yıldan uzun süredir çözüme kavuşmamış bir risk hakkında kullanıcıların bilgi sahibi olmayı hak ettiğini savundu.
Bu anlaşmazlık, güvenlik araştırmalarındaki gerçek bir gerilimi yansıtıyor. Araştırmacıların, yayımlamadan önce şirketlere yamalama için zaman tanıdığı koordineli açıklama, standart uygulamadır ve genellikle koruyucudur. Ancak bir şirket kendi belirlediği düzeltme son tarihini kaçırdığında, gecikmeye devam ettiğinde ve hâlâ teyit edilmiş bir çözüm tarihi sunmadığında, araştırmacılar zor bir kararla karşı karşıya kalır. Murphy’nin duruşu: Süregelen sessizlik, gizlilik aracının tehlikede olduğundan habersiz kullanıcılar için süregelen maruziyet anlamına geliyordu.
Apple, kamuya açıklamanın ardından ne 404 Media’nın ne de CNET’in yorum taleplerine yanıt verdi.
Kullanıcılar İçin Sonuçlar ve Apple’ın Planladığı Güncellemeler
Şu anda E-postamı Gizle kullanan herkes için güvenlik uzmanlarının pratik tavsiyesi net: Apple çalışır bir düzeltmeyi teyit edene kadar özelliği geçici olarak kullanmayı bırakın. Risk soyut değil — kullandığınız her takma ad, standart veri komisyoncusu araçlarına erişimi olan biri tarafından potansiyel olarak gerçek gelen kutunuza kadar izlenebilir.
Apple, bu yaz özellik için birkaç güncelleme üzerinde çalıştığını belirtti. Açıklanan en somut değişiklik, icloud.com alan adından private.icloud.com alan adına geçiş. Bu özel değişikliğin arkasındaki gerekçe kamuya açık şekilde açıklanmadı ve yeni alt alan adı yapısı kendi karmaşıklıklarını beraberinde getiriyor.
Web siteleri ve hizmetler, private.icloud.com ile biten adresleri tanımaya ve engellemeye başlarsa — ki bu gerçekçi bir sonuçtur, çünkü birçok platform zaten bilinen takma ad alan adlarını işaretliyor veya reddediyor — E-postamı Gizle kullanıcıları kendilerini gerçek adreslerini paylaşmaya zorlanmış halde bulabilir. Bu da özelliğin temel amacını fiilen boşa çıkarır. Apple’ın, güncelleme planlamasında bu aşağı yönlü etkiyi hesaba katıp katmadığı hâlâ açık bir soru.
Bu, Apple’ın gizlilik markalaması ile gizlilik araçlarının gerçek performansı arasındaki ilk çarpışması değil. 2022’de, iPhone Analytics ayarı devre dışı bırakılmış olsa bile iPhone uygulamalarının Apple’a analiz verileri gönderdiği tespit edildi. 2023’te, Wi-Fi bağlantılarını anonimleştirmeyi amaçlayan MAC adresi rastgeleleştirme özelliğinin, kullanıcıların gerçek MAC adreslerini ortaya çıkardığı bulundu. Her olay, aynı temeli aşındırdı: Apple’ın, varsayılan olarak kullanıcı gizliliğini ciddiye alan bir şirket olarak uzun süredir oluşturduğu itibar.
E-postamı Gizle güvenlik açığı, bir bakımdan farklı — kullanıcıların kendilerini korumak istedikleri için özellikle etkinleştirdikleri bir özelliği etkiliyor. Beklenti ile gerçeklik arasındaki uçurum, tam da riskin en yüksek olduğu yerde en geniş halini alıyor.
SSS
Apple’ın E-postamı Gizle hizmetinde keşfedilen güvenlik açığı nedir?
Bir güvenlik açığı, saldırganların, temel ve herkese açık kimlik arama araçlarını kullanarak E-postamı Gizle takma adlarıyla bağlantılı kullanıcıların gerçek e-posta adreslerini ortaya çıkarmasına olanak tanıyor. Easy Opt Out’un testleri, test edilen tüm adreslerde %100 istismar oranı gösterdi.
Apple, E-postamı Gizle hatasından ilk ne zaman haberdar oldu?
Apple, güvenlik açığı hakkında Haziran 2025’te, Easy Opt Out’un kurucu ortağı Tyler Murphy tarafından bilgilendirildi.
Apple, E-postamı Gizle’deki hatayı düzeltti mi?
Apple, sorunu Mart 2026’da düzelttiğini iddia etti, ancak Murphy, bu tarihten sonra da güvenlik açığının varlığını sürdürdüğünü doğruladı. Temmuz 2026’daki kamuya açıklama itibarıyla Apple, çalışır bir çözümü teyit etmemişti.
Apple, E-postamı Gizle güvenliğini iyileştirmek için hangi önlemleri planlıyor?
Apple, E-postamı Gizle’yi, e-posta alan adını icloud.com’dan private.icloud.com’a değiştirerek ve 2026 yazının ilerleyen dönemlerinde beklenen diğer güncellemelerle yenilemeyi planlıyor. Bunun güvenlik açığını tamamen kapatıp kapatmadığı henüz teyit edilmedi.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Apple’ın E-postamı Gizle hizmetinde keşfedilen güvenlik açığı nedir?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bir güvenlik açığı, saldırganların, temel ve herkese açık kimlik arama araçlarını kullanarak E-postamı Gizle takma adlarıyla bağlantılı kullanıcıların gerçek e-posta adreslerini ortaya çıkarmasına olanak tanıyor. Easy Opt Out’un testleri, test edilen tüm adreslerde %100 istismar oranı gösterdi.”}},{“@type”:”Question”,”name”:”Apple, E-postamı Gizle hatasından ilk ne zaman haberdar oldu?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Apple, güvenlik açığı hakkında Haziran 2025’te, Easy Opt Out’un kurucu ortağı Tyler Murphy tarafından bilgilendirildi.”}},{“@type”:”Question”,”name”:”Apple, E-postamı Gizle’deki hatayı düzeltti mi?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Apple, sorunu Mart 2026’da düzelttiğini iddia etti, ancak Murphy, bu tarihten sonra da güvenlik açığının varlığını sürdürdüğünü doğruladı. Temmuz 2026’daki kamuya açıklama itibarıyla Apple, çalışır bir çözümü teyit etmemişti.”}},{“@type”:”Question”,”name”:”Apple, E-postamı Gizle güvenliğini iyileştirmek için hangi önlemleri planlıyor?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Apple, E-postamı Gizle’yi, e-posta alan adını icloud.com’dan private.icloud.com’a değiştirerek ve 2026 yazının ilerleyen dönemlerinde beklenen diğer güncellemelerle yenilemeyi planlıyor. Bunun güvenlik açığını tamamen kapatıp kapatmadığı henüz teyit edilmedi.”}}]}
Bu makale, yapay zekâ desteğiyle hazırlanmış ve editör ekibi tarafından gözden geçirilmiştir.

