Indice
Hide My Email è una delle funzioni di privacy più apprezzate di iCloud+: genera indirizzi email casuali, tipicamente con dominio @icloud.com o @privaterelay.appleid.com, che si usano al posto del proprio vero indirizzo quando ci si iscrive a un sito o a un servizio.
Le email ricevute sull’alias vengono inoltrate alla casella reale, che resta nascosta al mittente. Sulla carta è esattamente quello che promette: un modo per navigare online lasciando un’impronta digitale ridotta, senza spam e senza esporre l’identità.
Il problema è che quella promessa ha un buco. E Apple lo sa da oltre un anno senza averlo ancora risolto.
Cosa ha trovato il ricercatore
La scoperta è di Tyler Murphy, cofondatore di EasyOptOuts, un servizio a pagamento che rimuove i dati personali dai siti di ricerca delle persone online.
Murphy ha trovato la vulnerabilità nel giugno 2025 e l’ha segnalata ad Apple con istruzioni di replica dettagliate, seguendo le pratiche standard della cosiddetta “responsible disclosure”: prima avvertire l’azienda in modo riservato, poi attendere che sistemi il problema, e solo allora renderlo pubblico.
Apple ha risposto circa un mese dopo, confermando di stare indagando. A marzo 2026, l’azienda ha comunicato a Murphy che il problema era stato risolto con un aggiornamento di sistema. Murphy ha verificato: non era così. Ad aprile e maggio, Apple ha descritto ulteriori verifiche in corso e promesso un fix in un aggiornamento di sicurezza “nelle prossime settimane”.
A fine maggio ha anche chiesto a Murphy di non divulgare pubblicamente la vulnerabilità fino al completamento delle indagini. Murphy ha proposto ad Apple, come misura temporanea, di sospendere la creazione di nuovi alias Hide My Email per ridurre il rischio degli utenti esistenti: non c’è alcuna indicazione che quel suggerimento sia stato accolto.
Alla fine di giugno 2026, più di dodici mesi dopo la segnalazione iniziale, la vulnerabilità è ancora presente. Murphy ha deciso di non aspettare oltre e ha portato la notizia a 404 Media, che ha testato la vulnerabilità in modo indipendente usando uno dei propri alias Hide My Email, confermandone l’esistenza.
La testata ha scelto di non pubblicare i dettagli tecnici del bug, per non facilitarne lo sfruttamento finché Apple non rilascia una correzione.
Quanto è grave: cinque minuti, tasso di successo 100%
I numeri che Murphy ha condiviso con 404 Media sono quelli che rendono la notizia seria, non solo una segnalazione tecnica di nicchia.
Nei test condotti con volontari, il 100% degli alias Hide My Email provati risultava sfruttabile, senza eccezioni. Quando 404 Media ha generato un alias fresco e lo ha passato a Murphy per la verifica, lui ha restituito l’indirizzo email reale del giornalista in circa cinque minuti.
Il meccanismo che rende questo possibile si somma a un problema che Murphy conosce bene per ragioni legate al suo lavoro: i siti di ricerca delle persone online, quelli che aggregano informazioni personali da fonti pubbliche e le rendono accessibili a chiunque paghi un piccolo abbonamento, possono collegare un indirizzo email ad altri dati personali come nome, numero di telefono, indirizzo fisico e relazioni.
Chi usa Hide My Email per ragioni di sicurezza reale, non solo per ridurre lo spam, ma per sfuggire a persecuzioni, stalking, harassing o per proteggere la propria identità come giornalista o attivista, potrebbe avere una protezione molto più fragile di quanto creda.
Non è un caso isolato nella storia di Apple
TechCrunch mette il caso in un contesto più ampio, e vale la pena citarlo. Apple ha costruito una parte significativa del proprio posizionamento commerciale sulla privacy: “What happens on your iPhone, stays on your iPhone” è uno slogan che l’azienda ha usato pubblicamente per anni. Non è la prima volta, però, che una funzione di privacy Apple si rivela meno solida di quanto dichiarato.
Nel 2022 fu riportato e poi confermato da una class action che le app su iPhone continuavano a inviare dati analitici ad Apple anche quando l’utente aveva esplicitamente disattivato la funzione di analisi nelle impostazioni privacy.
Nel 2023, ricercatori di sicurezza scoprirono che la funzione che avrebbe dovuto randomizzare gli indirizzi MAC dei dispositivi Wi-Fi, per ridurne la tracciabilità sulle reti, stava semplicemente esponendo l’indirizzo MAC reale invece di quello casuale generato dal sistema.
Il pattern è quello di funzioni di privacy che sulla carta proteggono l’utente, ma nella pratica hanno comportamenti non documentati che ne riducono o azzerano l’efficacia reale. Ogni caso è diverso per gravità e causa, ma la direzione è la stessa.
Un altro problema in arrivo: il cambio di dominio che facilita il blocco
La vulnerabilità non è l’unica preoccupazione attuale per chi usa Hide My Email. Separata dal bug, c’è una modifica strutturale che Apple ha annunciato ai propri sviluppatori il 15 giugno 2026: tutti i nuovi alias generati da Hide My Email passeranno dal dominio @icloud.com al dominio @private.icloud.com. Parallelamente, gli alias creati con Sign In with Apple passeranno da @privaterelay.appleid.com a @private.icloud.com.
Il cambiamento, in apparenza tecnico, ha una conseguenza pratica: i siti e le app potranno facilmente identificare e bloccare tutti gli indirizzi con quel dominio, riconoscendoli come alias generati da Apple.
Oggi chi usa Hide My Email può in molti casi usare il proprio alias senza che il servizio noti nulla di insolito, perché @icloud.com è un dominio email ordinario. Con @private.icloud.com, quella distinzione sparisce: l’alias diventa immediatamente riconoscibile come tale, e i siti potranno rifiutare la registrazione a chi sceglie di non rivelare il proprio indirizzo reale.
Cosa sappiamo e cosa non sappiamo
Cosa sappiamo:
- Tyler Murphy ha segnalato il bug ad Apple nel giugno 2025 con istruzioni di replica dettagliate
- Apple ha dichiarato a marzo 2026 di averlo corretto: Murphy e 404 Media hanno verificato che non era così
- Apple ha promesso un fix “nelle prossime settimane” a fine maggio 2026, ma la vulnerabilità è ancora attiva al 1° luglio 2026
- In test con volontari, il 100% degli alias Hide My Email provati risultava sfruttabile
- 404 Media ha verificato la vulnerabilità in modo indipendente su uno dei propri alias
- I dettagli tecnici del bug non sono stati divulgati per non facilitarne lo sfruttamento
- Apple non ha rilasciato dichiarazioni pubbliche sulla vulnerabilità
Cosa non sappiamo ancora:
- Qual è la natura tecnica precisa del bug, non divulgata per ragioni di sicurezza
- Quando esattamente Apple rilascerà la correzione, nonostante la promessa di “prossime settimane” risalga a fine maggio
- Se la vulnerabilità sia mai stata sfruttata attivamente, e da chi
Domande frequenti su Hide My Email
Cos’è Hide My Email e chi può usarla? È una funzione disponibile per gli abbonati a iCloud+, il piano a pagamento di Apple, che permette di generare alias email casuali da usare al posto del proprio indirizzo reale durante le registrazioni online. Le email ricevute sull’alias vengono inoltrate alla casella personale, che resta nascosta al mittente.
Come funziona la vulnerabilità? I dettagli tecnici non sono stati divulgati per evitare che vengano sfruttati prima della correzione. Quello che si sa è che, a partire da un alias Hide My Email, è possibile risalire all’indirizzo email reale dell’utente, e che nei test effettuati questa operazione ha funzionato nel 100% dei casi.
Devo smettere di usare Hide My Email? Apple non ha fornito indicazioni ufficiali. Chi usa Hide My Email solo per ridurre lo spam può continuare a farlo, tenendo presente che la funzione non offre al momento le garanzie di anonimato che promette. Chi invece la usa per ragioni di sicurezza più serie, come proteggere la propria identità da persone potenzialmente ostili, dovrebbe valutare strumenti alternativi finché il bug non è corretto.
Apple lo sapeva davvero da un anno senza fare nulla? Sì, nella sostanza. Murphy ha segnalato il bug nel giugno 2025. Apple ha risposto, ha promesso di indagare, a marzo 2026 ha dichiarato il problema risolto (ma non lo era), e a fine maggio ha chiesto a Murphy di attendere ancora. Dopo dodici mesi e la conferma che il bug era ancora attivo, Murphy ha scelto di rendere pubblica l’esistenza del problema, anche senza rivelare i dettagli tecnici.
Il cambio di dominio da @icloud.com a @private.icloud.com risolverà il bug? Non ci sono indicazioni che i due aspetti siano collegati. Il cambio di dominio è una modifica strutturale separata, annunciata il 15 giugno 2026, che avrà come conseguenza la possibilità per i siti di identificare e bloccare facilmente gli alias generati da Hide My Email. Apple non ha chiarito se il nuovo aggiornamento di sicurezza promesso includerà anche la correzione del bug segnalato da Murphy
