Hide My Email, la funzione offerta agli abbonati iCloud+ per creare indirizzi email anonimi, potrebbe non proteggere del tutto l’identità digitale degli utenti. Una vulnerabilità consentirebbe infatti di collegare gli indirizzi generati dal servizio agli indirizzi email reali, esponendo proprio il dato personale che la funzione dovrebbe schermare nelle interazioni online.
Il punto centrale riguarda l’uso pratico del servizio: gli utenti scelgono Hide My Email per evitare spam, limitare il tracciamento da parte di operatori terzi o ridurre i rischi nel caso in cui un servizio online subisca una futura violazione dei dati. La promessa operativa è semplice: al posto dell’indirizzo personale viene usato un contatto anonimo creato da Apple. Se però un attaccante può collegare quel contatto all’email reale, l’intero modello di separazione perde efficacia.
La falla è stata individuata dal team di EasyOptOuts, realtà attiva sul fronte della protezione dei dati personali. Secondo il suo amministratore delegato, Tyler Murphy, il gruppo avrebbe contattato Apple circa un anno prima, segnalando il problema e indicando anche come replicarlo. Nei successivi scambi via email, l’azienda avrebbe risposto in momenti diversi che stava esaminando la questione o che una soluzione era in lavorazione, o ancora che era già stata distribuita.
Il problema, tuttavia, sarebbe rimasto sfruttabile. Murphy e un giornalista coinvolto nella verifica sono riusciti a replicare l’exploit, senza rendere pubblici i dettagli tecnici per non aumentare il rischio per gli utenti di Apple. Questa scelta lascia fuori dal perimetro pubblico le istruzioni operative dell’attacco, ma non attenua il dato principale: l’associazione tra indirizzo anonimo e indirizzo reale sarebbe tecnicamente possibile.
Murphy ha spiegato di non sapere perché la vulnerabilità non sia stata risolta, aggiungendo che il team non si sente più a proprio agio nell’attendere. Gli utenti di Hide My Email, ha affermato, devono sapere che potrebbe essere possibile per degli attaccanti scoprire gli indirizzi nascosti. La formulazione è prudente sul perimetro complessivo del problema, ma molto netta sul rischio emerso nei test disponibili.
Il dato più forte arriva proprio da quei test limitati: Murphy ha dichiarato che, nelle prove condotte con volontari, il 100% degli indirizzi Hide My Email analizzati era sfruttabile. Non è una misura della diffusione globale della vulnerabilità, né consente di stabilire quante persone possano essere esposte. Indica però che, nel campione testato, la funzione non ha impedito il collegamento tra identità anonima e contatto reale.
Per utenti e imprese, il caso tocca un punto sensibile della gestione dell’identità digitale: gli strumenti di mascheramento dell’email sono spesso adottati come livello aggiuntivo di protezione, non come semplice comodità. In contesti aziendali, dove account personali, servizi cloud e iscrizioni a piattaforme esterne possono convivere con procedure di sicurezza più strutturate, una debolezza simile può ridurre la separazione tra identità operative e contatti principali.
La vicenda mette anche in luce la distanza che può aprirsi tra la percezione di una funzione di privacy e il suo comportamento effettivo quando viene sottoposta a verifica tecnica. Hide My Email resta pensato per limitare esposizione, spam e tracciamento, ma una vulnerabilità capace di ricondurre gli alias agli indirizzi reali ne indebolisce il valore d’uso. In attesa di chiarimenti o correzioni definitive da parte di Apple, il servizio appare meno opaco di quanto molti utenti potrebbero ritenere.