Due giorni fa qualcuno su Reddit ha notato che il nuovo sito web dell’App Store di Apple era stato pubblicato con le sourcemap attive, cioè quei file che servono agli sviluppatori per risalire al codice sorgente originale del frontend. In pratica, chiunque poteva leggere i commenti, i nomi delle funzioni e la struttura interna dell’interfaccia web, non solo il codice minificato che il browser scarica di solito.
All’inizio molti hanno liquidato la notizia come una curiosità, dicendo che “il codice frontend è sempre pubblico”. Ma le sourcemap non mostrano solo quello: espongono anche riferimenti interni, note di sviluppo e informazioni sull’architettura dell’applicazione. È come se Apple avesse lasciato aperto un cassetto pieno di appunti tecnici su come è costruito il suo negozio online.
Poche ore dopo, il repository GitHub che conteneva il codice scaricato è stato colpito da una richiesta DMCA di Apple. Oltre ottomila fork — cioè copie indipendenti del progetto, create da altri utenti per analizzarlo o modificarlo — sono stati rimossi in blocco. Nessun dato sensibile è stato diffuso, ma l’incidente resta un piccolo promemoria: anche le aziende più attente possono dimenticare un flag di build e pubblicare più del dovuto.