Karim Baratov è l'hacker canadese che con un'enorme operazione di spear-phishing nei confronti degli impiegati Yahoo! ha contribuito alla violazione di 500 milioni di account degli utenti della società. Lo scorso anno il ventitreenne si è dichiarato colpevole e negli scorsi giorni ha ricevuto una pena di cinque anni di prigione da parte di un giudice federale del Tribunale di San Francisco. Insieme alla reclusione Baratov dovrà pagare una multa di 250 mila dollari.

"La sentenza riflette la serietà del business che c'è dietro all'hacking sotto ingaggio", ha dichiarato l'avvocato Alex Tse in un comunicato: "Hacker come Baratov vendono le proprie capacità senza considerare che possono essere utilizzate per obiettivi criminali commessi dai clienti. Questi hacker non sono player minori del mercato, ma strumenti critici usati dai criminali per ottenere e sfruttare le informazioni personali degli utenti in maniera illecita. Dando una pena esemplare a Baratov il Tribunale ha inviato un chiaro messaggio agli hacker che partecipano ad attacchi cybernetici sponsorizzati da enti governativi, che porteranno sempre a conseguenze significative".

Baratov aveva ammesso in precedenza che il suo ruolo nell'operazione era di "hackerare gli account webmail degli utenti per conto dell'FSB", i servizi segreti interni russi. L'hacker ha poi inviato le password ottenute al suo presunto co-cospiratore, Dmitry Aleksandrovich Dokuchaev, ed è stato incriminato alla fine di febbraio 2017 insieme ad altri tre uomini rimasti in Russia. L'attacco ordito nei confronti dei dipendenti Yahoo ha consentito ai quattro (e potenzialmente anche ad altri) di guadagnare l'accesso alle reti interne di Yahoo e di alcuni servizi amministrativi utilizzati dalla compagnia, insieme ad Alexsey Belan, già ricercato negli USA per altri cyber-crimini.

L'attacco a Yahoo non ha consentito a Belan e agli agenti della FSB di ottenere tutto il necessario per guadagnare l'accesso a tutti gli account utente, tuttavia ha permesso loro di localizzare e prendere di mira specifici account di interesse, potendo anche effettuare modifiche grazie allo sfruttamento dell'Account Management Tool. La pena esemplare per Baratov potrebbe fare da deterrente nei confronti di altri "colleghi" nell'accettare nuovi incarichi di questo tipo, anche se ad oggi non sappiamo con certezza che cifre circolino intorno al mondo dell'hacking, soprattutto quando si prendono di mira delle realtà colossali con più di un miliardo di utenti all'attivo.