La promessa era semplice. Ti iscrivi a una newsletter losca, acquisti uno strano gadget o accedi a un sito che sembra non essere stato aggiornato dal 2014. Invece di fornire loro il tuo vero indirizzo, gliene dai uno falso.

Questa è la vendita di Hide My Email di Apple. Un alias temporaneo. Scudo per la privacy. Nessun tracciamento.

Solo che lo scudo ha dei buchi. Quelli grandi.

Mercoledì è arrivata in California una nuova causa collettiva, Alvarez v. Apple Inc.. Le accuse sono taglienti. Apple ha venduto un vantaggio sulla privacy che apparentemente non funziona come pubblicizzato. Pubblicità ingannevole, frode, violazione del contratto. I querelanti vogliono soldi, ma vogliono anche che Apple ripari il buco nella loro armatura o ammetta che è lì.

Come la vulnerabilità Hide My Email espone i tuoi dati

Ecco il meccanismo del disastro. Hide My Email consente agli utenti di iCloud Plus di generare indirizzi email casuali. Questi indirizzi indirizzano la posta alla tua casella di posta principale. Sembrano legittimi. Terminano con “icloud.com”.

Quel suffisso di dominio è il problema.

I ricercatori di sicurezza hanno scoperto che gli strumenti standard di identità online potrebbero decodificare questi alias. Digiti l’indirizzo temporaneo in un sito di ricerca e restituisce il vero indirizzo email dell’utente. Tasso di successo del 100% nei primi test, secondo 404 Media.

Una volta che un cattivo attore ha il vero indirizzo, non si ferma più. Lo inseriscono nei database dei registri pubblici. Nome, indirizzo, numero di telefono. Oppure lo incrociano con dump di password trapelate.

Il difetto è stato segnalato ad Apple nel giugno 2025 da un ricercatore associato a Easy Opt Outs. Apple lo sapeva. La causa afferma di averlo lasciato riparato, senza patch, pur continuando a commercializzare la funzionalità come sicura.

Perché aspettare una causa per correggere un bug? La cronologia è oscura. Apple non ha ancora commentato. Il silenzio è più forte di qualsiasi comunicato stampa.

Quali utenti Apple possono partecipare alla class action Nascondi la mia email?

Se sei seduto lì chiedendoti se i tuoi dati sono là fuori, hai delle domande.

  • Quali account sono interessati? Solo gli abbonati iCloud Plus a pagamento.
  • Dove sono gli obiettivi? La causa copre gli utenti Apple negli Stati Uniti, ma prende di mira specificamente un sottoinsieme in California.
  • Quando posso iscrivermi? Da nessuna parte. Non ancora.

La certificazione per l’azione collettiva richiede un’eternità. I tribunali devono approvarlo. Devono decidere chi si qualifica. L’articolo promette di aggiornare i lettori quando verranno aperti i portali di registrazione, ma proprio adesso? È un modello di trattenimento.

Non abbiate fretta di fare causa. Aspetta i guardiani legali.

Perché il futuro aggiornamento di Apple potrebbe eliminare lo scudo per la privacy

C’è un altro livello in questo pasticcio. Apple non sta semplicemente ignorando il bug. Stanno cambiando la funzionalità.

Entro la fine dell’estate, gli alias cambieranno dominio. Niente più “@icloud.com”. Ora sarà “@private.icloud.com”.

Sulla carta sembra più sicuro. Un dominio dedicato alla privacy. Ma guarda più da vicino.

Molti siti Web filtrano le email che non possono verificare o riconoscere. Se “private.icloud.com” viene inserito nella lista nera dai principali moduli di registrazione, cosa succede? Gli utenti Apple sono costretti a scegliere: fornire loro il proprio indirizzo reale per motivi di privacy o utilizzare un generatore di terze parti losco.

È questa la privacy? Oppure si tratta semplicemente di spostare il rischio altrove?

Come proteggere la tua identità adesso

Non è possibile annullare le esposizioni passate. Se il tuo alias è stato cancellato a giugno, è in circolazione. Non puoi eliminare un’ombra.

Ma puoi rafforzare il futuro.

  1. Smetti di utilizzare Hide My Email per gli account critici. Se non riesci a verificare se un alias è esposto, utilizza una strategia diversa. Alias ​​Proton Mail, servizi di dominio semplice o semplicemente account Gmail dedicati separati.
  2. Monitora le notifiche di violazione. Poiché è possibile collegare l’indirizzo reale, controlla HaveIBeenPwned.
  3. Tenere d’occhio la causa. Alvarez contro Apple Inc. potrebbe costituire un precedente. Se la corte ritiene che Apple abbia agito con cognizione di causa, aumenterà la pressione per una soluzione reale, non cosmetica.

La tecnologia avrebbe dovuto essere una protezione invisibile. Sembra abbastanza visibile.

Apple lo patcherà? Cambiarlo? O semplicemente discutere in tribunale?

Il codice non mente, ma gli avvocati parleranno abbastanza da soffocare i server. Per ora, fidati un po’ meno della funzionalità. Presumi che tutto ciò che invii abbia una traccia che ti riporta.

Anche se pensavi che fosse nascosto.