Eine kriminelle Hackergruppe veröffentlichte laut Berichten vom 5. Februar 2026 große Datensätze, die angeblich von der Harvard University und der University of Pennsylvania gestohlen wurden. Die Erpressungsgruppe ShinyHunters veröffentlichte Millionen von Unterlagen in einem Online-Forum und behauptete, sie enthielten persönliche Informationen und interne Daten der beiden Institutionen.
ShinyHunters sagte, das Leck enthält mehr als 1 Million Datensätze aus Harvards Systemen, darunter Daten im Zusammenhang mit Fundraising und Alumni-Beziehungen sowie etwa 1,2 Millionen Datensätze aus Penns Systemen, die angeblich Studierende, Alumni und Spender abdecken. Die Daten enthalten Berichten zufolge E-Mail-Adressen, Telefonnummern, Wohn- und Geschäftsadressen sowie weitere biografische Informationen. Keine der beiden Universitäten hat den vollständigen Umfang der veröffentlichten Unterlagen öffentlich überprüft.
Harvard gab im November 2025 bekannt, dass seine Netzwerke, die vom Alumni Affairs and Development Office genutzt werden, nach einem telefonbasierten Phishing-Angriff von einer unautorisierten Partei zugegriffen wurden. Beamte erklärten, dass die kompromittierten Systeme in der Regel keine Sozialversicherungsnummern, Passwörter, Zahlungskarteninformationen oder Finanzkontonummern speichern, sondern persönliche Kontaktdaten sowie Angaben zu Spenden und Veranstaltungsteilnehmern enthielten. Harvard teilte mit, dass es schnell gehandelt habe, um dem Angreifer den Zugang zu entziehen, und ermittelt weiterhin mit externen Experten und Strafverfolgungsbehörden.
Die University of Pennsylvania bestätigte Ende 2025 einen separaten Datenverstoß, obwohl sie die Anzahl der von ShinyHunters beanspruchten betroffenen Personen bestritt. Lokale Berichte zitierten eine rechtliche Einreichung, die darauf hindeutete, dass der Verstoß weniger als 10 Personen betraf, im Gegensatz zu der Behauptung von mehr als 1,2 Millionen Datensätzen. Im Fall Penn wurden betrügerische E-Mails von Universitätsadressen verschickt, nachdem die Angreifer auf interne Systeme zugegriffen hatten, und die Universität informierte das FBI, während sie die Sicherheitslücke gemeinsam mit Cybersicherheitsspezialisten untersuchte.
Sicherheitsforscher und -analysten betonen Vorsicht bei der Bewertung von Darknet-Datendumps und weisen darauf hin, dass Behauptungen in kriminellen Foren oft unverifiziert sind und gefälschte oder irreführende Dateien enthalten können, die Aufmerksamkeit oder Erpressungszahlungen erregen sollen. In früheren Vorfällen hat ShinyHunters angeblich gestohlene Daten von hochkarätigen Unternehmen veröffentlicht oder verkauft, und nicht alle Behauptungen wurden als legitim bestätigt.
Beide Universitäten haben den betroffenen Gemeinden Leitlinien herausgegeben, in denen sie zur Wachsamkeit gegenüber Phishing und anderen verdächtigen Kommunikationen mit Bezug auf die geleakten Informationen raten, und arbeiten daran, das Ausmaß einer möglichen Exposition zu ermitteln und ihre Sicherheitskontrollen zu verstärken. Strafverfolgungsbehörden sind an den Ermittlungen beteiligt, und beide Institutionen kommunizieren weiterhin mit Cybersicherheitspartnern, während sich die Vorfälle entwickeln.