5 Şubat 2026 tarihli raporlara göre, bir suç hackleme grubu, Harvard Üniversitesi ve Pennsylvania Üniversitesi’nden çalındığı iddia edilen büyük veri setlerini kamuoyuna açıkladı. Şantaj grubu ShinyHunters, çevrimiçi bir forumda milyonlarca kayıt paylaştı ve bunların iki kurumdan kişisel bilgiler ve iç verileri içerdiğini iddia etti.
ShinyHunters, sızıntının Harvard sistemlerinden 1 milyondan fazla kayıt içerdiğini, bağış toplama ve mezunlarla bağlantılı veriler de dahil olduğunu ve Penn’in sistemlerinden öğrenciler, mezunlar ve bağışçıları kapsadığını iddia ettiği yaklaşık 1,2 milyon kayıt içerdiğini söyledi. Verilerin e-posta adresleri, telefon numaraları, ev ve iş adresleri ile diğer biyografik bilgileri içerdiği bildiriliyor. Her iki üniversite de yayımlanan kayıtların tam kapsamını kamuoyuna doğrulamadı.
Harvard, Kasım 2025’te Mezunlar İşleri ve Kalkınma Ofisi tarafından kullanılan ağların, telefon tabanlı bir oltalama saldırısı sonrası yetkisiz bir taraf tarafından erişildiğini açıkladı. Yetkililer, ele salınan sistemlerin genellikle Sosyal Güvenlik numaralarını, şifrelerini, ödeme kartı bilgilerini veya finansal hesap numaralarını saklamadığını, ancak kişisel iletişim bilgileri ve bağışlar ile etkinlik katılımlarının detaylarını içerdiğini belirtti. Harvard, saldırganın erişimini hızla kaldırdığını ve olayı dış uzmanlar ve kolluk kuvvetleriyle birlikte araştırmaya devam ettiğini açıkladı.
Pennsylvania Üniversitesi, 2025 sonlarında ayrı bir ihlali doğruladı, ancak ShinyHunters’ın iddia ettiği etkilenen kişi sayısını itiraz etti. Yerel raporlar, ihlalın 10’dan az kişiyi etkilediğini belirten yasal bir dosyaya atıfta bulundu; buna karşılık 1,2 milyondan fazla kayıt iddiası var. Penn davasında, saldırganlar iç sistemlere eriştikten sonra üniversite adreslerinden sahte e-postalar gönderildi ve üniversite, ihlali siber güvenlik uzmanlarıyla birlikte incelerken FBI’ı bilgilendirdi.
Güvenlik araştırmacıları ve analistleri, karanlık web veri dökülmelerini değerlendirirken temkinli olmayı vurguluyor; suç forumlarındaki iddiaların genellikle doğrulanmadığını ve dikkat çekmek veya şantaj ödemeleri amacıyla uydurulmuş veya yanıltıcı dosyalar içerebileceğini belirtiyorlar. Geçmiş olaylarda, ShinyHunters yüksek profilli şirketlerden iddia edilen çalınmış verileri paylaşmış veya satmış ve tüm iddiaların meşru olduğu doğrulanmamıştır.
Her iki üniversite de etkilenen topluluklara yönlendirme, sızdırılan bilgilere atıfta bulunan oltalama ve diğer şüpheli iletişimlere karşı dikkatli olmalarını tavsiye etti ve herhangi bir maruziyetin boyutunu belirlemek ve güvenlik kontrollerini güçlendirmek için çalışıyor. Kolluk Kuvvetleri soruşturmalara dahil olmuş ve her iki kurum da olaylar gelişirken siber güvenlik ortaklarıyla iletişim kurmaya devam ediyor.