Nhóm tin tặc khét tiếng ShinyHunters đã nhận trách nhiệm về vụ vi phạm dữ liệu tại Đại học Harvard và Đại học Pennsylvania (UPenn) vào năm ngoái và công bố thông tin mà nhóm tuyên bố đã đánh cắp từ hai trường.
Vào thứ Tư, nhóm ShinyHunters đã đăng tải hơn một triệu bản ghi từ mỗi trường đại học lên trang web chuyên dùng để tống tiền nạn nhân của nhóm.
Vào tháng 11 năm 2025, UPenn đã xác nhận vụ vi phạm dữ liệu nhắm vào “một nhóm hệ thống thông tin chọn lọc liên quan đến các hoạt động phát triển và cựu sinh viên của Penn”. Vào thời điểm đó, tin tặc cũng đã gửi email cho các cựu sinh viên thông báo về vụ hack từ các địa chỉ chính thức của trường.
Nhà trường cho rằng vụ tấn công là do kỹ thuật xã hội, một hình thức tấn công thường dựa vào việc tin tặc giả mạo danh tính và lừa nạn nhân thực hiện những hành động họ không thường làm. UPenn không nêu rõ loại dữ liệu nào bị tin tặc đánh cắp, chỉ nói rằng tội phạm mạng đã truy cập vào “các hệ thống liên quan đến hoạt động phát triển và cựu sinh viên của Penn”.
Sau đó vào tháng 11, Đại học Harvard cũng xác nhận vụ vi phạm dữ liệu trên hệ thống cựu sinh viên, đổ lỗi cho một cuộc tấn công lừa đảo qua giọng nói (voice phishing), tức là tin tặc lừa nạn nhân nhấp vào liên kết hoặc mở tệp đính kèm qua cuộc gọi thoại.
Harvard cho biết dữ liệu bị đánh cắp bao gồm địa chỉ email, số điện thoại, địa chỉ nhà và nơi làm việc, thông tin tham dự sự kiện, chi tiết quyên góp cho trường, và các thông tin tiểu sử khác liên quan đến hoạt động gây quỹ và tương tác với cựu sinh viên của trường.
Dữ liệu được ShinyHunters công bố dường như khớp với loại thông tin mà cả hai trường đại học cho biết đã bị đánh cắp.
Tin tặc cho biết họ công bố dữ liệu bị đánh cắp vì các trường đại học từ chối trả tiền chuộc. Các nhóm tội phạm mạng như ShinyHunters thường cố gắng tống tiền nạn nhân bằng cách đòi tiền để không công bố dữ liệu đánh cắp. Nếu nạn nhân từ chối thanh toán, chúng sẽ phát tán dữ liệu trực tuyến.
Trong vụ tấn công UPenn, tin tặc đã tạo ấn tượng rằng họ có động cơ chính trị, đặc biệt bày tỏ sự bất mãn với các chính sách hành động khẳng định. “Chúng tôi tuyển dụng và nhận những kẻ ngốc vì chúng tôi yêu quý những người có công trạng, nhà tài trợ và những người được nhận theo chính sách hành động khẳng định không đủ tiêu chuẩn,” tin tặc viết trong email gửi cho cựu sinh viên.
ShinyHunters không được biết đến với các động cơ chính trị.
Phát ngôn viên của Penn, Ron Ozio, cho biết trường đại học đang “phân tích dữ liệu và sẽ thông báo cho bất kỳ cá nhân nào nếu được yêu cầu bởi các quy định bảo mật hiện hành”. Harvard không phản hồi yêu cầu bình luận.
Vụ việc cho thấy các tổ chức giáo dục, dù có uy tín lớn, vẫn là mục tiêu hấp dẫn của tội phạm mạng, đòi hỏi sự cảnh giác và đầu tư liên tục vào an ninh mạng.
