Een criminele hackergroep heeft grote datasets openbaar gemaakt die naar verluidt zijn gestolen van Harvard University en de University of Pennsylvania, volgens berichten van 5 februari 2026. De afpersingsgroep ShinyHunters plaatste miljoenen gegevens op een online forum, waarin ze beweerden persoonlijke informatie en interne gegevens van de twee instellingen te bevatten.
ShinyHunters zei dat het lek meer dan 1 miljoen records bevat van Harvards systemen, inclusief gegevens die verband houden met fondsenwerving en alumnirelaties, en ongeveer 1,2 miljoen records van Penns systemen waarvan men beweert dat ze studenten, alumni en donateurs dekken. De gegevens omvatten naar verluidt e-mailadressen, telefoonnummers, huis- en bedrijfsadressen en andere biografische informatie. Geen van beide universiteiten heeft de volledige omvang van de vrijgegeven documenten publiekelijk geverifieerd.
Harvard maakte in november 2025 bekend dat de netwerken die door het Alumni Affairs and Development Office werden gebruikt, waren benaderd door een ongeautoriseerde partij na een phishing-aanval via de telefoon. Functionarissen zeiden dat de gecompromitteerde systemen doorgaans geen sofinummers, wachtwoorden, betaalkaartgegevens of financiële rekeningnummers opsloegen, maar wel persoonlijke contactgegevens en gegevens van donaties en deelname aan evenementen bevatten. Harvard zei dat het snel handelde om de toegang van de aanvaller te onttrekken en het incident blijft onderzoeken met externe experts en wetshandhaving.
De University of Pennsylvania bevestigde eind 2025 een aparte inbreuk, hoewel zij het aantal getroffen personen dat ShinyHunters claimde betwistte. Lokale berichten verwezen naar een juridisch dossier waaruit bleek dat de inbreuk minder dan 10 personen had getroffen, in tegenstelling tot de claim van meer dan 1,2 miljoen gegevens. In de zaak Penn werden frauduleuze e-mails verstuurd vanaf universiteitsadressen nadat de aanvallers toegang hadden gekregen tot interne systemen, en de universiteit bracht de FBI op de hoogte terwijl ze de inbreuk onderzocht met cybersecurityspecialisten.
Beveiligingsonderzoekers en analisten benadrukken voorzichtigheid bij het beoordelen van dark web-datadumps, en merken op dat claims op criminele forums vaak niet geverifieerd zijn en mogelijk gefabriceerde of misleidende bestanden bevatten die bedoeld zijn om aandacht of afpersingsbetalingen te trekken. In eerdere incidenten heeft ShinyHunters vermeende gestolen gegevens van prominente bedrijven geplaatst of verkocht, en niet alle beweringen zijn als legitiem bevestigd.
Beide universiteiten hebben richtlijnen uitgegeven aan getroffen gemeenschappen, waarin ze adviseren waakzaam te zijn tegen phishing en andere verdachte communicatie die naar de gelekte informatie verwijst, en werken eraan om de omvang van eventuele blootstelling te bepalen en hun beveiligingscontroles te versterken. Wetshandhavingsinstanties zijn betrokken bij de onderzoeken en beide instellingen blijven communiceren met cybersecuritypartners terwijl de incidenten zich ontvouwen.