Apple migra aliases do Hide My Email para @private.icloud.com, e ameaça sua eficácia

A mudança para @private.icloud.com não é só uma troca de domínio, é um desligamento silencioso da camada de indistinguição que tornava o Hide My Email eficaz contra rastreamento em massa. Antes, os aliases eram espalhados por domínios legítimos como @icloud.com, @me.com e @mac.com, misturando-se com contas reais. Agora, todos os endereços de retransmissão compartilham um subdomínio dedicado e identificável, o que permite que qualquer serviço de cadastro (e-commerce, redes sociais, plataformas de SaaS) bloquee o domínio inteiro com uma única regra DNS ou regex, sem risco de afetar usuários reais do iCloud Mail.

Isso transforma o recurso de anonimização em algo funcionalmente equivalente a serviços de e-mail descartável: útil contra spam inicial, mas inútil contra correlação cruzada, fingerprinting de contas ou bloqueio por política de plataforma. A Apple não removeu o recurso, mas removeu sua principal vantagem operacional: a plausibilidade de ser um endereço real.

Empresas que dependem de validação de e-mail para compliance (LGPD, GDPR) ou detecção de fraude agora têm um atalho barato para descartar contas criadas com má intenção, mas também descartam legítimos que usam o recurso para proteger dados pessoais. Para profissionais de segurança, isso significa que o Hide My Email deixou de ser uma ferramenta defensiva confiável em cenários de divulgação controlada de identidade digital. O impacto vai além do usuário final: aplicações que integram Sign in with Apple precisam revisar políticas de aceitação de e-mails, pois o novo padrão pode gerar falsos negativos em autenticação e onboarding.