Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiqué le piratage de Harvard et de l’Université de Pennsylvanie, et a mis en ligne les données volées.
Le groupe d’extorsion ShinyHunters affirme être à l’origine des violations de données ayant touché Harvard et l’Université de Pennsylvanie (UPenn) en 2025, et a publié sur son site de fuite ce qu’il présente comme plus d’un million d’enregistrements par université.
- UPenn avait confirmé en novembre une compromission de systèmes liés aux activités “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyé des emails aux alumni depuis des adresses officielles de l’université. UPenn avait attribué l’incident à de la social engineering.
- Harvard avait également confirmé une compromission en novembre, attribuée à du vishing (voice phishing). Harvard indiquait que les données volées incluaient : emails, numéros de téléphone, adresses (domicile et pro), participation à des événements, détails de dons, et informations biographiques liées aux activités de fundraising/alumni.
- Des vérifications (échantillon) ont corroboré la cohérence d’une partie des données (ex. recoupements avec personnes concernées / registres publics).
Les attaquants expliquent publier les données car les universités auraient refusé de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas réputé pour des motivations politiques, ce qui suggère une mise en scène opportuniste.
🧩 TTPs (extraits MITRE ATT&CK)
NB : attribution MITRE basée uniquement sur les éléments fournis dans le texte.
Accès initial / Ingénierie sociale
- Phishing via appel vocal (vishing) — Harvard
- T1566.004 – Phishing: Voice Phishing
- Ingénierie sociale / usurpation (attaque “social engineering” évoquée par UPenn)
- T1566 – Phishing (générique, si le vecteur exact n’est pas précisé)
Identités / Accès & persistance
- Utilisation de comptes légitimes / détournés (envoi d’emails depuis adresses officielles UPenn)
- T1078 – Valid Accounts
- Ciblage SSO / Okta (les attaquants relient leurs hacks à une vague d’attaques SSO/Okta)
- T1556 – Modify Authentication Process (possible, si contournement/attaque du flux SSO ; non confirmé dans le texte)
- T1110 – Brute Force (non mentionné ; à éviter si non corroboré)
Objectifs
- Exfiltration de données d’alumni/fundraising
- T1020 – Automated Exfiltration *(non confirmé) / T1041 – Exfiltration Over C2 Channel (non confirmé)
- (Le texte confirme le vol et la publication, pas la méthode d’exfiltration.)
- Extorsion / Leak site (double extorsion typique : vol + menace de publication)
- T1657 – Financial Theft (proche, mais l’extorsion n’est pas du “theft” au sens strict)
- T1486 – Data Encrypted for Impact (non mentionné ; à éviter)
- (MITRE ne modélise pas toujours l’extorsion/leak comme une technique unique ; on le documente plutôt comme objectif/opération.)
🧷 IOCs (observables)
Aucun IOC exploitable (domaines, IPs, hash, chemins, noms de malware) n’est fourni dans l’extrait.
Observables contextuels :
- Publication sur un site de fuite dédié ShinyHunters (leak site)
- Données exposées : identifiants/coordonnées alumni, adresses, participation à événements, historique de dons (Harvard)
- Indice opérationnel : emails envoyés depuis des comptes/domaine officiels (UPenn)
🔓 Il s’agit d’une revendication d’attaque avec exfiltration suivie de divulgation de données sur une plateforme d’extorsion, visant deux universités américaines de premier plan.
Cet article de TechCrunch rapporte la prise de responsabilité et la mise en ligne des données, en soulignant le caractère prolifique du groupe et la dimension d’extorsion associée à la fuite.
🔗 Source originale : https://techcrunch.com/2026/02/04/hackers-publish-personal-information-stolen-during-harvard-upenn-data-breaches/