A Universidade de Harvard revelou no último fim de semana que seus sistemas de Alumni Affairs and Development foram comprometidos por um ataque de voice phishing, expondo informações pessoais de estudantes, ex-alunos, doadores, funcionários e professores.
Os dados expostos incluem endereços de e-mail, números de telefone, endereços residenciais e comerciais, registros de participação em eventos, detalhes de doações e informações biográficas relacionadas às atividades de captação de recursos e ao engajamento dos ex-alunos.
No entanto, segundo Klara Jelinkova, vice-presidente e Chief Information Officer de Harvard, e Jim Husson, vice-presidente de Alumni Affairs and Development, os sistemas afetados não continham números de Social Security, senhas, informações de cartão de pagamento ou dados financeiros.
As autoridades da universidade indicam que os seguintes grupos tiveram suas informações expostas no incidente:
- Ex-alunos
- Cônjuges, parceiros e viúvos/viúvas de ex-alunos
- Doadores
- Pais de estudantes atuais e antigos
- Alguns estudantes atuais
- Parte do corpo docente e dos funcionários
Harvard, que integra a Ivy League, está colaborando com autoridades policiais e especialistas externos em cibersegurança para investigar o caso.
Notificações sobre o vazamento foram enviadas em 22 de novembro às pessoas potencialmente afetadas.
“Na terça-feira, 18 de novembro de 2025, a Universidade de Harvard descobriu que sistemas utilizados pela Alumni Affairs and Development foram acessados por terceiros não autorizados em decorrência de um ataque de phishing via telefone”, informam as cartas enviadas.
“A universidade agiu imediatamente para revogar o acesso do invasor e evitar novos acessos não autorizados.
Estamos escrevendo para informar que seus dados podem ter sido acessados e para alertá-lo sobre quaisquer comunicações incomuns que digam ser da universidade.”
Além disso, Harvard alertou os possíveis afetados para que desconfiem de chamadas, mensagens de texto ou e-mails que aleguem ser da instituição, especialmente aqueles que solicitarem redefinição de senha ou informações sensíveis, como senhas, números de Social Security ou dados bancários.
Um porta-voz de Harvard não estava disponível para comentar quando contatado pela BleepingComputer nesta segunda-feira.
Em meados de outubro, a universidade já havia informado a investigação de outro vazamento, após o grupo Clop ransomware incluir Harvard em seu site de extorsão, afirmando ter explorado uma vulnerabilidade zero-day nos servidores do Oracle E-Business Suite para acessar os sistemas da instituição.
Nos últimos dias, outras duas universidades da Ivy League, Princeton University e University of Pennsylvania, também confirmaram vazamentos que expuseram informações de doadores, evidenciando o aumento dos ataques direcionados a instituições acadêmicas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...