Um grupo criminoso de hackers divulgou publicamente grandes conjuntos de dados supostamente roubados da Universidade de Harvard e da Universidade da Pensilvânia, segundo relatos de 5 de fevereiro de 2026. O grupo de extorsão ShinyHunters publicou milhões de registros em um fórum online, alegando que contêm informações pessoais e dados internos das duas instituições.
A ShinyHunters disse que o vazamento contém mais de 1 milhão de registros dos sistemas de Harvard, incluindo dados ligados a captação de recursos e relações com ex-alunos, e cerca de 1,2 milhão de registros dos sistemas da Penn que, segundo ele, abrangem estudantes, ex-alunos e doadores. Os dados supostamente incluem endereços de e-mail, números de telefone, endereços residenciais e comerciais, e outras informações biográficas. Nenhuma das universidades verificou publicamente o alcance total dos registros divulgados.
Harvard revelou em novembro de 2025 que suas redes usadas pelo escritório de Assuntos e Desenvolvimento de Ex-Alunos foram acessadas por uma parte não autorizada após um ataque de phishing por telefone. Autoridades disseram que os sistemas comprometidos geralmente não armazenavam números de Previdência Social, senhas, informações de cartão de pagamento ou números de conta financeira, mas continham dados pessoais de contato e detalhes de doações e participação em eventos. Harvard afirmou que agiu rapidamente para remover o acesso do atacante e continua investigando o incidente com especialistas externos e autoridades policiais.
A Universidade da Pensilvânia confirmou uma violação separada no final de 2025, embora tenha contestado o número de pessoas afetadas reivindicadas pelo ShinyHunters. Relatórios locais citaram um documento legal indicando que a violação afetou menos de 10 pessoas, em contraste com a alegação de mais de 1,2 milhão de registros. No caso da Penn, e-mails fraudulentos foram enviados de endereços universitários após os invasores terem acessado sistemas internos, e a universidade notificou o FBI enquanto examinava a violação com especialistas em cibersegurança.
Pesquisadores e analistas de segurança enfatizam cautela ao avaliar despejos de dados na dark web, observando que as alegações em fóruns criminais frequentemente não são verificadas e podem incluir arquivos fabricados ou enganosos destinados a chamar atenção ou pagamentos de extorsão. Em incidentes anteriores, a ShinyHunters publicou ou vendeu supostos dados roubados de empresas de alto perfil, e nem todas as afirmações foram confirmadas como legítimas.
Ambas as universidades emitiram orientações às comunidades afetadas, aconselhando vigilância contra phishing e outras comunicações suspeitas que fazem referência às informações vazadas, e estão trabalhando para determinar a extensão de qualquer exposição e fortalecer seus controles de segurança. As agências de aplicação da lei estão envolvidas nas investigações, e ambas as instituições continuam a se comunicar com parceiros de cibersegurança à medida que os incidentes se desenrolam.