MailWipe Privacy Policy

Mailwipe: Privacy Policy

About Privacy Terms Credits

This policy describes how we process personal data in relation to the services offered by Mailwipe. The site is designed according to the principles of Art. 5 GDPR (lawfulness, fairness, transparency, minimization, storage limitation, integrity and confidentiality, accountability).

Index

1. Technical structure and third-party services
2. Server location
3. Data we collect and what we DO NOT collect
4. Functioning: session, CSRF and activity tracking
5. MyActivity page
6. Data retention and deletion
7. Legal basis for processing
8. Cookies, consent and tracking
9. Application and session security
10. External services and responsibility
11. User rights
12. Contacts and updates

1. Technical structure and third-party services

The site uses public APIs subject to limitations and external services, each with its own policies and terms:

Temp Mail (Mail.tm): API for creating/managing temporary email inboxes. Independent data controller.
VirusTotal: API for URL scan, domain scan and file scan. Independent data controller.
Google Safe Browsing: security checks on links.
AbuseIPDB: used to check access from potentially harmful IPs. We only analyze the IP address without storing it in our systems. The service may process data outside the EU (including USA).
Lordicon: animated icons loaded from an external service.
CDN cdnjs.cloudflare.com, code.jquery.com, cdn.jsdelivr.net: frameworks/libraries.
CookieYes: cookie consent management in compliance with GDPR and CCPA; may process IP and browsing data to store preferences.
Google Analytics (IP anonymized) and Google AdSense (with prior consent).
Cloudflare Turnstile: anti-bot/abuse form protection.

2. Server location

The servers used to provide the service are located in Europe.

3. Data we collect and what we DO NOT collect

To provide our services, we store in our database the following data associated with the temporary email account:

Email temporary email created via Mail.tm API
Password for the personal area (stored in encrypted form)
Token from Mail.tm (necessary to read messages via API)
PHP SessionID from the browser
CSRF token associated with the session
Technical metadata of scans:
- File scan: filetype, SHA256 of the file, creation/expiration dates
- URL scan: Base64 ID of the URL, creation/expiration dates
- Domain/IP scan: domain name, domain hash, date di creazione/scadenza

We do not store in our systems:

Personal information (other than that strictly necessary for the service above)
IP addresses of users
Email message contents (retrieved in real-time via API each time)
Uploaded files for scanning (handled in memory and then deleted)

Messages may be automatically deleted by Mail.tm according to their policies; in our service, the email account expires automatically after 24h (extendable by the user, see §6).

4. Functioning: session, CSRF and activity tracking

Le attivazioni (creazione mail, URL scan, domain/IP scan, file scan) sono riconducibili alla coppia SessionID + CSRF token e dunque hanno natura temporanea.

Session timeout sliding: scadenza dopo 30 minuti di inattività; il timer si aggiorna a ogni interazione.
CSRF token: generato e salvato in sessione e su DB insieme al SessionID; scade con la sessione.
Tracciamento scansioni: solo a livello quantitativo (conteggi e tipologia), senza IP e senza dati personali.
Cloudflare Turnstile per protezione dei form (mail, URL, dominio/IP, file).

5. MyActivity page

Mettiamo a disposizione la pagina MyActivity che, per lo stesso SessionID e CSRF token, rileva:

Attivazione email
Scansioni URL
Scansioni dominio/IP
Scansioni file

L’utente può visualizzare, cancellare o esportare in .txt le attività rilevate. L’export effettua escaping completo del contenuto per prevenire l’inserimento di codice eseguibile e anonimizza parzialmente l’indirizzo email.

6. Conservazione e cancellazione dei dati

Temp Mail

Scadenza automatica della casella dopo 24 ore (estendibile dall’utente).
Alla data/ora di scadenza un cronjob elimina il record (valido anche per URL scan, file scan e domain/IP scan).
Al momento della generazione della mail, creiamo un CSRF token associato alla sessione; Mail.tm genera il proprio token per l’accesso ai messaggi (salvato nel nostro DB e recuperato solo tramite SessionID+CSRF validi).
Se sessione/CSRF non sono più validi, è possibile accedere tramite email e password scelti al primo accesso; questo recupera da DB la coppia originaria SessionID+CSRF associata alla mail (in caso di esito negativo, redirect alla pagina principale.
Messaggi: non conserviamo i contenuti; sono sempre letti in tempo reale via API.

Avviso VirusTotal: file, URL, domini e hash inviati a VirusTotal possono essere resi pubblici, condivisi con partner e non sono rimovibili dopo l’invio. Procedendo con la scansione, l’utente accetta tale condizione.

Password: conservata in forma criptata finché esiste l’account.
Token Mail.tm: conservato per consentire la lettura dei messaggi via API; recuperabile solo con meccanismi SessionID+CSRF validi.
Sessione: scade alla chiusura del browser o per inattività (30 minuti).
Scansioni (URL, dominio/IP, file): conserviamo soli metadati tecnici (vedi §3) fino alla scadenza; cronjob di pulizia alla data/ora impostata.

Dopo l’eliminazione della casella non è più possibile accedere né riutilizzare lo stesso username.

7. Legal basis for processing

Art. 6.1.b GDPR – Erogazione del servizio: gestione email temporanee, credenziali criptate, token, sessione/CSRF e metadati tecnici delle scansioni.
Art. 6.1.f GDPR – Legittimo interesse: sicurezza, prevenzione abusi, monitoraggio quantitativo anonimo delle scansioni, protezione dei form.
Art. 6.1.a GDPR – Consenso: cookie analitici e pubblicitari tramite banner CookieYes.

8. Cookies, consent and tracking

Cookie tecnici: PHP SessionID; CookieYes; parametri di sicurezza della sessione.
Cookie analitici: Google Analytics (IP anonimizzato) – attivati solo con consenso.
Cookie pubblicitari: Google AdSense – attivi solo con consenso.

Il consenso è gestito tramite CookieYes con possibilità di accettare/rifiutare e modificare le preferenze in qualsiasi momento (conforme a GDPR e CCPA).

9. Application and session security

Cookie con attributi Secure, HttpOnly, SameSite=Strict.
Session timeout per inattività: 30 minuti; rigenerazione ID sessione alla creazione e ogni 15 minuti.
Restrizioni sessione: use_only_cookies , use_strict_mode abilitato, gc_maxlifetime=1800, cache_limiter=nocache.
Binding al browser: salvataggio dello User-Agent all’avvio; al cambio sospetto la sessione viene invalidata e l’utente reindirizzato.
CSRF: token casuale per ogni sessione/operazione, validato per le richieste POST.
Header di sicurezza: anti-cache, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, policy restrittive per permessi (es. geolocalizzazione, microfono).
Protezione form con Cloudflare Turnstile.
AbuseIPDB per mitigare accessi malevoli (Mailwipe non salva IP).
File scan: limite 32MB; file gestiti in memoria e non salvati su disco.

Per le descrizioni delle minacce e i consigli di protezione utilizziamo API di Gemini 1.5 Flash (Google). I risultati sono informativi e non sostituiscono valutazioni umane specialistiche.

10. External services and responsibility

Mail.tm (email temporanee)

Mail.tm agisce come titolare autonomo per account e messaggi. Conservazione ed eliminazione sono regolate dalla loro informativa. Noi non conserviamo i contenuti dei messaggi e li recuperiamo sempre in tempo reale via API.

VirusTotal (scansioni URL, domini, file)

VirusTotal è titolare autonomo dei dati inviati ai loro sistemi.

Avviso importante: contenuti inviati a VirusTotal (file, URL, domini, hash) possono essere resi pubblici, condivisi con partner di sicurezza e non sono rimovibili dopo l’invio.

Noi non conserviamo i file: archiviaamo solo hash (SHA256), ID delle scansioni e gli URL/domìni sottoposti ad analisi per fini tecnici e di reportistica.

Google (Analytics, AdSense, Safe Browsing) e CookieYes operano come titolari autonomi per i relativi servizi.

11. User rights

L’utente può esercitare i diritti previsti dal GDPR, tra cui accesso, rettifica, cancellazione, limitazione/opposizione (per i dati tecnici minimi), portabilità ove applicabile, e revoca del consenso ai cookie.

Eliminazione autonoma dell’account email temporaneo e delle attività associate.
Richieste privacy: contact.php è possibile inviare comunicazioni selezionando l’oggetto (privacy, cancellazione dati, reclami).
Reclamo: possibilità di rivolgersi all’Autorità Garante competente.

I metadati tecnici (es. hash, ID codificati) non contengono dati personali identificativi e sono utilizzati per fini tecnici e statistici.

12. Contacts and updates

Per qualsiasi richiesta relativa al trattamento dei dati personali è possibile contattarci tramite la pagina contact.php.

Questa pagina potrà essere aggiornata per riflettere modifiche normative o tecniche del servizio. In caso di aggiornamenti sostanziali, potremo informare gli utenti con avvisi sul sito.

Last update: 04/09/2025.