Hide My Email, la funzione di iCloud+ che genera indirizzi email anonimi per proteggere quello reale, ha una vulnerabilit� che permette di risalire all'indirizzo effettivo dell'utente. A scoprirla � stato Tyler Murphy, co-fondatore di EasyOptOuts, che l'ha segnalata ad Apple a giugno 2025: oltre un anno dopo, il problema non risulta ancora corretto in modo definitivo. La funzione genera indirizzi sotto il dominio @icloud.com che inoltrano i messaggi alla casella reale dell'utente; la protezione funziona perch� questi indirizzi non sono distinguibili da un normale account @icloud.com. 404 Media ha verificato la falla in prima persona: ha generato un nuovo indirizzo Hide My Email e lo ha fornito a Murphy, che in circa cinque minuti ha restituito il vero indirizzo email collegato all'account Apple. Murphy ha dichiarato: "Abbiamo segnalato il problema e le istruzioni per riprodurlo ad Apple oltre un anno fa. Non sappiamo perch� non sia stato ancora corretto, ma non ci sentiamo pi� a nostro agio ad aspettare. Chi usa Hide My Email merita di sapere che un aggressore potrebbe scoprire il suo indirizzo nascosto". Nei test condotti con volontari, ha aggiunto, il 100% degli indirizzi Hide My Email testati risultava sfruttabile. La risposta di Apple, tra rinvii e correzioni parziali Apple ha risposto alla prima segnalazione circa un mese dopo, a luglio 2025, dicendo di stare esaminando il problema. A marzo 2026 ha comunicato di aver "risolto il problema con un recente aggiornamento di sistema", ma Murphy ha verificato che la vulnerabilit� era ancora presente. A fine maggio 2026 Apple ha affermato di voler intervenire con un futuro aggiornamento di sicurezza "previsto nelle prossime settimane" ma al momento della pubblicazione del pezzo la falla risulta ancora sfruttabile. Murphy ha anche suggerito ad Apple di sospendere temporaneamente la vendita di Hide My Email come misura di contenimento, proposta a cui Apple non ha risposto. I dettagli tecnici esatti della vulnerabilit� non vengono divulgati proprio perch� � ancora sfruttabile. Il rischio, sottolinea Murphy, � aggravato dai siti di ricerca pubblica su persone, che permettono di collegare facilmente un indirizzo email ad altri dati personali: chi si affida a Hide My Email anche per motivi di sicurezza personale potrebbe quindi essere esposto. Il cambio di dominio complica ulteriormente il quadro La vicenda si intreccia con una modifica annunciata da Apple a giugno 2026: gli indirizzi Hide My Email passeranno dal dominio @icloud.com al nuovo @private.icloud.com, unificandoli con quelli di Sign in with Apple, finora su privaterelay.appleid.com. Gli indirizzi gi� generati sui domini precedenti continueranno a funzionare e a inoltrare la posta senza interruzioni. Il cambio, per�, render� pi� facile per siti e app identificare e bloccare gli indirizzi anonimi di Hide My Email, dato che smetteranno di essere indistinguibili dagli indirizzi email ordinari. Una funzione pensata per proteggere l'identit� degli utenti rischia cos� di indebolirsi su due fronti insieme: una falla che ne vanifica lo scopo da oltre un anno, e un cambio tecnico che ne facilita il riconoscimento da parte di terzi.