La promessa di Apple era chiara: generare indirizzi email anonimi per iscriversi a servizi o comunicare senza esporre il proprio indirizzo personale. Un pilastro della privacy per milioni di abbonati a iCloud+. Ma una vulnerabilità scoperta da Tyler Murphy, cofondatore di EasyOptOuts, mostra che quel muro di protezione era di cartone: con pochi passaggi era possibile risalire all’identità reale del proprietario, e Apple lo sapeva da oltre un anno senza intervenire.
Cosa non ha funzionato nel mascheramento
Hide My Email permette di creare indirizzi casuali – due parole e un numero seguiti da @icloud.com – che inoltrano i messaggi alla propria casella reale, tenendola nascosta. La falla, di cui Murphy e 404 Media non rivelano i dettagli tecnici per evitare abusi immediati, consentiva di collegare quell’alias all’email vera in circa cinque minuti. Nei test condotti da Murphy, il tasso di successo era del 100%. Il campanello d’allarme è doppio: non solo il meccanismo di anonimizzazione ha ceduto, ma la sua debolezza era sistemica e replicabile su qualsiasi account.
Il percorso a ostacoli della segnalazione
Murphy ha contattato Apple a giugno 2025. Dopo un mese l’azienda ha risposto di stare indagando. A marzo 2026 ha dichiarato di aver «risolto il problema segnalato in un recente aggiornamento di sistema», ma i test di Murphy dimostravano il contrario. Nuovi dettagli inviati, nuova risposta interlocutoria. A maggio 2026 Apple scriveva di essere ancora «in fase di indagine» e chiedeva di non divulgare informazioni fino al completamento. Murphy ha proposto di sospendere le vendite di Hide My Email per limitare i rischi, ma non ha ricevuto risposta. Solo a fine maggio Apple ha promesso una correzione «nelle prossime settimane». Alla data di pubblicazione, la patch non era disponibile.
Perché la faccenda tocca la sovranità dei dati
La vicenda va oltre un singolo bug. Chi usa strumenti di mascheramento lo fa per gestire la propria esposizione digitale: evitare spam, disaccoppiare identità personali da account usa-e-getta, difendersi da data breach. Il fallimento di Hide My Email dimostra che delegare la protezione a un fornitore cloud senza meccanismi di verifica indipendenti lascia l’utente alla mercé della trasparenza (e della tempestività) del fornitore. In ottica enterprise o per professionisti con necessità di compartimentazione, questo episodio è un promemoria: l’anonimizzazione a strati non è infallibile e la fiducia nel cloud non può essere l’unica barriera. In ambienti dove la sovranità dei dati è critica – sanità, studi legali, realtà che valutano stack on-premise per LLM – il principio è il medesimo: il controllo del dato deve restare in casa, e i servizi esterni vanno sottoposti a audit continui, non a promesse.
La mossa di Apple e il paradosso del nuovo dominio
TechCrunch ha riportato a giugno che Apple intende cambiare il dominio degli indirizzi generati da @icloud.com a @private.icloud.com, una modifica che dovrebbe rendere più semplice per i servizi web bloccare a priori le iscrizioni da questi alias, riducendone l’efficacia. È un paradosso: mentre la funzionalità resta vulnerabile, l’azienda introduce una variazione che ne depotenzia l’uso. Il segnale va colto in un framework più ampio: la corsa a offrire feature di privacy marketing-friendly senza un’architettura di sicurezza robusta produce un’illusione di protezione che può rivelarsi peggiore dell’assenza di strumenti, perché induce comportamenti più disinvolti.
Per Murphy, la scelta di rendere pubblica la falla è stata dettata dalla consapevolezza che chi fa affidamento su Hide My Email per la propria sicurezza meritava di sapere. «Non sappiamo perché non sia stato risolto, ma non ci sentivamo più a nostro agio ad aspettare», ha dichiarato. Una frase che, in un settore dove i tempi di reazione misurano la serietà di un vendor, pesa come un macigno.
💬 Commenti (0)
🔒 Accedi o registrati per commentare gli articoli.
Nessun commento ancora. Sii il primo a commentare!