Un groupe de piratage criminel a publié publiquement d’importants ensembles de données prétendument volés à l’Université Harvard et à l’Université de Pennsylvanie, selon des rapports du 5 février 2026. Le groupe d’extorsion ShinyHunters a publié des millions de dossiers sur un forum en ligne, affirmant qu’ils contiennent des informations personnelles et des données internes provenant des deux institutions.
ShinyHunters a indiqué que la fuite contient plus d’un million de dossiers provenant des systèmes de Harvard, incluant des données liées à la collecte de fonds et aux relations avec les anciens élèves, ainsi qu’environ 1,2 million de dossiers provenant des systèmes de Penn qu’elle prétend couvrir des étudiants, des anciens élèves et des donateurs. Les données incluent apparemment des adresses e-mail, des numéros de téléphone, des adresses résidentielles et professionnelles, ainsi que d’autres informations biographiques. Aucune des deux universités n’a vérifié publiquement l’étendue complète des documents publiés.
Harvard a révélé en novembre 2025 que ses réseaux utilisés par le bureau des Anciens Élèves et du Développement avaient été consultés par une partie non autorisée après une attaque de phishing basée sur téléphone. Les responsables ont indiqué que les systèmes compromis ne stockaient généralement pas les numéros de sécurité sociale, les mots de passe, les informations de carte de paiement ou les numéros de compte financier, mais contenaient des coordonnées personnelles ainsi que des données de dons et de la participation aux événements. Harvard a déclaré avoir agi rapidement pour supprimer l’accès de l’attaquant et continue d’enquêter sur l’incident avec des experts externes et des forces de l’ordre.
L’Université de Pennsylvanie a confirmé une violation distincte fin 2025, bien qu’elle ait contesté le nombre de personnes concernées revendiquées par ShinyHunters. Des rapports locaux ont cité un dépôt légal indiquant que la violation a touché moins de 10 personnes, contrairement à la revendication de plus de 1,2 million d’enregistrements. Dans l’affaire Penn, des e-mails frauduleux ont été envoyés depuis des adresses universitaires après que les attaquants eurent accédé aux systèmes internes, et l’université a informé le FBI tout en examinant la violation avec des spécialistes en cybersécurité.
Les chercheurs et analystes en sécurité insistent sur la prudence lors de l’évaluation des déversements de données sur le dark web, notant que les allégations sur les forums criminels sont souvent non vérifiées et peuvent contenir des fichiers fabriqués ou trompeurs destinés à attirer l’attention ou à des paiements d’extorsion. Dans des incidents passés, ShinyHunters a publié ou vendu des données présumées volées provenant d’entreprises de haut niveau, et toutes les affirmations n’ont pas été confirmées comme légitimes.
Les deux universités ont publié des directives aux communautés concernées, conseillant de rester vigilantes contre le phishing et autres communications suspectes faisant référence aux informations divulguées, et travaillent à déterminer l’étendue de toute exposition et à renforcer leurs contrôles de sécurité. Les forces de l’ordre sont engagées dans les enquêtes, et les deux institutions continuent de communiquer avec leurs partenaires en cybersécurité au fur et à mesure que les incidents se déroulent.