@icloud.com@privaterelay.appleid.comHide My Email è una funzionalità di punta dell’abbonamento iCloud+, che promette di creare indirizzi email anonimi e usa e getta che inoltrano i messaggi alla casella reale senza mai esporre l’indirizzo vero . Questo bug distrugge completamente quella promessa: chiunque abbia accesso a un alias generato (un sito web, un data broker o un malintenzionato) può potenzialmente scoprire l’email reale dell’utente, vanificando lo scopo della funzione per la privacy, l’anti-tracciamento e la prevenzione dello spam
.
@private.icloud.com, in sostituzione della precedente suddivisione tra @icloud.com e @privaterelay.appleid.com Questa modifica non corregge la vulnerabilità sottostante. Al contrario, peggiora la privacy sotto un altro aspetto . In precedenza, un alias di Hide My Email (es.
abc123@icloud.com) era indistinguibile da un normale indirizzo email iCloud personale, quindi i siti web non potevano capire se un utente era anonimo . Il nuovo dominio
@private.icloud.com marca inequivocabilmente ogni indirizzo come alias per la privacy, rendendo banale per qualsiasi sito web o servizio bloccare, segnalare o rifiutare le iscrizioni anonime . I difensori della privacy hanno descritto questa mossa come un passo che “elimina del tutto quell’ambiguità”, rendendo la funzione meno utilizzabile per il suo scopo principale
.
Al 1° luglio 2026, la vulnerabilità principale rimane senza patch – a più di un anno dalla segnalazione iniziale .
Il fatto che Apple non abbia risolto davvero la vulnerabilità di reverse-tracing per oltre un anno – nonostante avesse dichiarato di averla corretta a marzo 2026 – ha sollevato interrogativi sul processo di risposta ai problemi di sicurezza di Apple e sull’adeguatezza delle risorse dedicate alle funzioni di privacy di iCloud+ .
A marzo 2026, diverse testate hanno riportato che Apple ha fornito all’FBI il vero indirizzo email iCloud collegato a un alias di Hide My Email durante un’indagine per minacce . I documenti giudiziari hanno mostrato che Apple ha consegnato l’identità di almeno due abbonati a iCloud+ che avevano utilizzato la funzione
. Sebbene i termini di servizio di Apple abbiano sempre consentito questa pratica in caso di richieste legali, l’episodio ha rivelato quante informazioni Apple può e vuole consegnare – inclusa la mappatura tra alias e account reali
. Questo contraddice l’impressione di marketing di un “mascheramento email anonimo” e ha ulteriormente eroso la fiducia nelle promesse di privacy della funzione
.
@private.icloud.com – non risolve la vulnerabilità e anzi facilita il blocco degli utenti anonimi da parte dei servizi