My2022, l’app delle Olimpiadi invernali di Pechino tra fughe dati e ansia da monitoraggio del governo cinese

Le Olimpiadi invernali di Pechino inizieranno il prossimo venerdì 4 febbraio e andranno avanti fino a domenica 20 febbraio. Per l’evento che si terrà in Cina i partecipanti saranno stati obbligati a utilizzare MY2022 per il tracciamento dei contatti Covid, una app che – secondo i ricercatori del Citizen Lab della Munk School of Global Affairs and Public Policy dell’Università di Toronto – presenta gravi difetti di crittografia. La conseguenza dell’utilizzo dell’app Olimpiadi è che può essere favorita la fuga dei dati dei partecipanti alle Olimpiadi.

LEGGI ANCHE >>> Dopo quanto accaduto durante Europei e Olimpiadi, Instagram introduce i “limiti”

L’app Olimpiadi My2022 obbligatoria per atleti, giornalisti e spettatori

My2022 è un’app che dovrà obbligatoriamente essere installata e utilizzata da tutte le persone che orbiteranno attorno all’evento, dagli atleti agli spettatori passando per i giornalisti. Un sistema con il quale, in sostanza, si avrà accesso ai dati di moltissime persone e che dovrebbe essere sicuro. Quanto emerge dalle ricerche di esperti in materia, però, è che l’applicazione per le Olimpiadi cinesi realizzata dal Beijing Financial Holdings Group (di proprietà del governo cinese) presenterebbe gravi problemi di crittografia che andrebbero facilmente a favorire una fuga di dati.

Tra le altre cose, il Citizen Lab ha verificato che l’applicazione non convalida i certificati SSL (Secure Sockets Layer). Questo vuol dire che all’app stessa e al browser non viene notificato se un sito web è autentico o meno e in che modo stabilire una connessione crittografata. La conseguenza è che chi usa l’app potrebbe facilmente venire reindirizzato a siti web malevoli e subire un furto di dati o di identità.

Lo scopo dell’utilizzo dell’app è quello di evitare l’insorgere di focolai Covid durante l’evento. Recentemente le Olimpiadi 2022 sono state limitate in tal senso: niente pubblico, solo invitati. Rimane però la questione app per partecipanti e chiunque si troverà ad assistere all’evento. Quali saranno i dati trattati? Lo stato di salute, il ciclo vaccinale, informazioni su passaporto, posizione e – quando si tratta di utenti internazionali – tutta un’altra serie di dettagli personali.

La falla è stata segnalata al Comitato Olimpico Internazionale

Il Comitato Olimpico Internazionale ha chiesto di avere accesso al rapporto e il Citizen Lab li ha informati di averglielo trasmesso «all’inizio di dicembre» dando loro quindici giorni per rispondere in merito e quarantacinque per rimediare al problema individuato. Attualmente non è stata ricevuta alcuna risposta. Il Comitato ha solo precisato che ogni utente può disabilitare l’accesso dell’app a parti del dispositivo sul quale è installato, riportando la valutazione dell’applicazione fatta da due società informatiche di cui però non è stato detto il nome: «Hanno confermato che non ci sono vulnerabilità critiche e che l’utente ha il controllo su ciò a cui l’app può accedere sul proprio dispositivo».

La preoccupazione per le regole cinesi

Nel mondo si discute non solo della cybersecurity relativa a questa app ma anche di cosa comporta mettere a disposizione i propri dati in Cina. Come viene specificato dal CIO, infatti, My2022 è conforme agli «standard internazionali e alla legge cinese». Questo vuol dire che le informazioni possono essere elaborate non solo dal Comitato ma anche dalle autorità governative cinesi. Jeffrey Knockel, che ha firmato il rapporto Citizen Lab, ha sottolineato che «utilizzando l’app, stai già inviando dati direttamente al governo cinese».

A tal proposito c’è già una lista di paesi che sta mettendo in guardia i propri atleti, coi Comitati olimpici dei singoli paesi che li invitano a preferire dispositivi usa e getta e a prestare la massima attenzione entrando in Cina. Finora a mobilitarsi sono stati i Comitati olimpici di Usa, Canada, Regno Unito, Olanda e Germania.