Un gruppo di hacker criminali ha reso pubblici grandi dataset presumibilmente rubati all’Università di Harvard e all’Università della Pennsylvania, secondo i rapporti del 5 febbraio 2026. Il gruppo di estorsione ShinyHunters ha pubblicato milioni di registri su un forum online, sostenendo che contengano informazioni personali e dati interni delle due istituzioni.
ShinyHunters ha dichiarato che la fuga contiene più di 1 milione di registrazioni provenienti dai sistemi di Harvard, inclusi dati legati alla raccolta fondi e alle relazioni con gli ex studenti, e circa 1,2 milioni di registrazioni provenienti dai sistemi di Penn che secondo lei riguardano studenti, ex studenti e donatori. I dati includono indirizzi email, numeri di telefono, indirizzi di casa e azienda, e altre informazioni biografiche. Nessuna delle due università ha verificato pubblicamente l’intera portata dei documenti resi pubblici.
Harvard ha rivelato nel novembre 2025 che le sue reti utilizzate dall’ufficio Alumni Affairs and Development erano state accedute da una parte non autorizzata dopo un attacco di phishing basato su telefono. Le autorità hanno detto che i sistemi compromessi generalmente non conservavano numeri di previdenza sociale, password, informazioni sulle carte di pagamento o numeri di conto finanziario, ma contenevano dettagli personali e dettagli di donazioni e partecipazioni agli eventi. Harvard ha dichiarato di aver agito rapidamente per rimuovere l’accesso all’aggressore e sta continuando a indagare sull’incidente con esperti esterni e forze dell’ordine.
L’Università della Pennsylvania ha confermato una violazione separata alla fine del 2025, anche se ha contestato il numero di persone colpite rivendicate da ShinyHunters. I rapporti locali hanno citato un deposito legale che indica che la violazione ha colpito meno di 10 persone, a differenza della richiesta di oltre 1,2 milioni di registri. Nel caso Penn, email fraudolente sono state inviate dagli indirizzi universitari dopo che gli aggressori avevano avuto accesso ai sistemi interni, e l’università ha avvisato l’FBI mentre esaminava la violazione con specialisti della cybersecurity.
I ricercatori e gli analisti della sicurezza sottolineano la cautela nella valutazione dei dump di dati del dark web, osservando che le affermazioni nei forum penali sono spesso non verificate e possono includere file falsificati o fuorvianti volti ad attirare attenzione o pagamenti per estorsione. In episodi passati, ShinyHunters ha pubblicato o venduto presunti dati rubati da aziende di alto profilo, e non tutte le affermazioni sono state confermate come legittime.
Entrambe le università hanno emesso linee guida alle comunità interessate, consigliando di vigilare contro phishing e altre comunicazioni sospette che fanno riferimento alle informazioni trapelate, e stanno lavorando per determinare l’entità di qualsiasi esposizione e rafforzare i controlli di sicurezza. Le forze dell’ordine sono coinvolte nelle indagini e entrambe le istituzioni continuano a comunicare con i partner della cybersecurity man mano che gli incidenti si svolgono.