Harvard University mengumumkan terjadinya insiden kebocoran data yang memengaruhi sistem Alumni Affairs and Development (AA&D) setelah kampus tersebut menjadi korban serangan voice phishing. Informasi pribadi milik mahasiswa, alumni, donatur, staf, serta anggota fakultas berpotensi terekspos akibat akses tidak sah ke sistem internal.
Sebagai institusi riset Ivy League dengan lebih dari 20.000 staf dan fakultas, sekitar 24.500 mahasiswa, serta jaringan alumni global lebih dari 400.000 orang, Harvard menegaskan bahwa data yang bocor mencakup alamat email, nomor telepon, alamat rumah maupun kantor, catatan kehadiran acara kampus, riwayat donasi, hingga informasi biografis terkait kegiatan penggalangan dana dan keterlibatan alumni.
Pihak universitas menekankan bahwa sistem yang terkompromi tidak menyimpan informasi sensitif seperti nomor Social Security, kata sandi, data kartu pembayaran, maupun informasi keuangan lain. Pernyataan resmi disampaikan oleh Klara Jelinkova, Wakil Presiden sekaligus CIO Harvard, serta Jim Husson, Wakil Presiden Alumni Affairs and Development.
Menurut investigasi awal, kelompok individu yang kemungkinan terdampak mencakup alumni, pasangan atau ahli waris alumni, donatur, orang tua mahasiswa, sebagian mahasiswa aktif, serta sejumlah staf dan anggota fakultas. Universitas telah mulai mengirimkan pemberitahuan kebocoran data sejak 22 November kepada mereka yang informasinya diduga diakses oleh pihak tidak berwenang.
Dalam pemberitahuan tersebut dijelaskan bahwa pada 18 November 2025 Harvard mendeteksi adanya akses ilegal ke sistem AA&D yang dipicu oleh serangan voice phishing. Akses tersebut segera dicabut begitu insiden terdeteksi, dan universitas memastikan upaya mitigasi dilakukan untuk mencegah penyusupan lanjutan. Harvard juga meminta seluruh pihak yang mungkin terdampak agar lebih waspada terhadap komunikasi mencurigakan yang mengatasnamakan universitas.
Mereka diimbau untuk mengabaikan permintaan reset kata sandi atau informasi sensitif melalui panggilan telepon, SMS, maupun email. Hingga kini, juru bicara Harvard belum dapat memastikan jumlah individu yang terdampak dan menyebut bahwa pihak kampus belum mengidentifikasi pelaku, meskipun terdapat kemiripan dengan serangan terhadap institusi pendidikan lain.
Ini bukan insiden pertama yang menimpa Harvard dalam beberapa bulan terakhir. Pada pertengahan Oktober, grup ransomware Clop mengklaim telah membobol lingkungan sistem kampus melalui kerentanan zero-day pada Oracle E-Business Suite, sebuah kejadian yang juga tengah diselidiki. Dua universitas Ivy League lainnya—Princeton University dan University of Pennsylvania—juga baru-baru ini mengonfirmasi kebocoran data serupa yang melibatkan informasi donatur.