Un groupe de hackers notoire a revendiqué la responsabilité des violations de données de l’année dernière à l’Université Harvard et à l’Université de Pennsylvanie (UPenn) et a publié les données qu’il prétend avoir volées aux deux écoles.
Mercredi, le groupe connu sous le nom de ShinyHunters a publié ce qu’il prétend être plus d’un million d’enregistrements de chaque université sur le site de fuite dédié du groupe, que le gang utilise pour extorquer ses victimes.
En novembre, l’UPenn a confirmé une violation de données sur « un groupe sélectionné de systèmes d’information liés au développement de Penn et aux activités des anciens élèves ». À l’époque, les pirates avaient également envoyé des courriels aux anciens élèves annonçant le piratage à partir d’adresses universitaires officielles.
L’université a imputé cette violation à l’ingénierie sociale, une attaque qui repose souvent sur des pirates informatiques se faisant passer pour quelqu’un et l’incitant à faire quelque chose qu’il ne ferait normalement pas. Sur sa page Web officielle de divulgation des violations, qui a depuis été mise hors ligne, UPenn n’a pas précisé exactement quel type de données les pirates ont volé, affirmant simplement que les cybercriminels ont accédé à « des systèmes liés au développement de Penn et aux activités des anciens élèves ».
Contactez-nous
Avez-vous plus d’informations sur ces violations ou sur des attaques similaires ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
TechCrunch a vérifié une partie de l’ensemble de données en confirmant auprès des anciens élèves et des dossiers publics, par exemple en faisant correspondre les données avec les numéros d’identification des étudiants.
Plus tard en novembre, l’Université Harvard a également confirmé une faille dans les systèmes de ses anciens élèves, l’attribuant à une attaque de phishing vocal, c’est-à-dire une attaque par laquelle des pirates ont incité les cibles à cliquer sur un lien ou à ouvrir une pièce jointe avec un appel vocal.
Harvard a déclaré que les données volées comprenaient des adresses e-mail, des numéros de téléphone, des adresses personnelles et professionnelles, la participation à des événements, des détails sur les dons à l’université et d’autres informations biographiques relatives aux activités de collecte de fonds et d’engagement des anciens élèves de l’université.
Événement Techcrunch
Boston, Massachusetts
|
23 juin 2026
Les données publiées par ShinyHunters, que TechCrunch a vues, semblent correspondre au type d’informations qui, selon les deux universités, ont été volées l’année dernière.
Les pirates ont déclaré avoir publié les données volées parce que les universités refusaient de payer une rançon pour les en empêcher. Les cybercriminels comme ShinyHunters tentent souvent d’extorquer à leurs victimes un paiement en échange de la non-publication des données qu’ils ont volées, et si les victimes refusent le paiement, elles publient ensuite les données en ligne.
Lors de la brèche d’UPenn, les pirates ont donné l’impression qu’ils avaient des motivations politiques, en particulier ils ont exprimé leur mécontentement à l’égard des politiques d’action positive. « Nous embauchons et admettons des abrutis parce que nous aimons les héritages, les donateurs et les admissions sans réserve en matière d’action positive », ont écrit les hackers dans l’e-mail envoyé aux anciens élèves.
ShinyHunters n’est pas connu pour avoir des motivations politiques. Les pirates n’ont pas répondu à une question demandant pourquoi ils avaient inclus ce langage dans l’e-mail.
Le porte-parole de Penn, Ron Ozio, a déclaré à TechCrunch que l’université « analyse les données et informera tout individu si les réglementations applicables en matière de confidentialité l’exigent ».
Harvard n’a pas répondu à une demande de commentaire.
