🔐 Cyber Security Daily News | 17.04.2026
🔐 Cyber Security Daily News | 17.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Polska rząd: za cyberatakami na szpitale, energetykę i wodociągi stoją Rosja i Białoruś — służby mają zadanie
CyberDefence24 informuje, że minister cyfryzacji Krzysztof Gawkowski oficjalnie stwierdził, że za ostatnimi głośnymi cyberatakami na polską infrastrukturę krytyczną — w tym szpitale, sektor energetyczny i wodociągi — stoją rosyjskie i białoruskie służby wywiadowcze. Rząd nazwał te działania „cyberterroryzmem" i zapowiedział, że Polska będzie odpowiadać adekwatnie. Przed polskimi służbami zostało już postawione formalne zadanie w tym zakresie. To ważna zmiana w retoryce — publiczne, oficjalne przypisanie ataków konkretnym podmiotom państwowym jest krokiem w kierunku polityki odstraszania i może stanowić podstawę do działań dyplomatycznych i prawnych.
Źródło: CyberDefence24 [PL]
Krytyczna podatność w protokole MCP (Anthropic) naraża 150 milionów pobrań na wykonanie dowolnego kodu
Infosecurity Magazine opisuje odkrycie przez Ox Security krytycznej, systemowej luki w protokole Model Context Protocol (MCP) — otwartym standardzie Anthropic umożliwiającym modelom AI łączenie się z zewnętrznymi systemami. Błąd w interfejsie STDIO polega na tym, że komenda uruchamiania serwera wykonywana jest niezależnie od tego, czy proces startuje prawidłowo — co pozwala wstrzyknąć złośliwe polecenie bez żadnych ostrzeżeń w narzędziach developerskich. Potencjalnie narażonych jest ponad 200 projektów open source, 150 milionów pobrań i 7000+ publicznie dostępnych serwerów. Niepokojące: Anthropic po poinformowaniu o problemie oświadczyło, że jest to oczekiwane zachowanie i odpowiedzialność za sanityzację spoczywa na deweloperach.
Źródło: Infosecurity Magazine [EN]
Agenty AI podatne na prompt injection przez komentarze w kodzie — problem dotyczy Claude Code, Gemini CLI i GitHub Copilot
SecurityWeek opisuje nowe badanie, w którym odkryto, że agenty AI do kodowania — Claude Code, Gemini CLI i GitHub Copilot — mogą zostać zaatakowane przez prompt injection ukryte w komentarzach w kodzie. Atakujący może zamieścić specjalnie spreparowany komentarz w publicznym repozytorium lub pliku konfiguracyjnym, który po przeczytaniu przez agenta AI powoduje, że wykonuje on nieoczekiwane działania: usuwa pliki, wysyła dane do zewnętrznych serwerów lub modyfikuje zachowanie agenta. Kapitan Hack zauważa, że skala zjawiska jest zaskakująca — AI coraz częściej skanuje kod, który może zawierać wrogie polecenia. To nowa klasa zagrożeń wymagająca nowych mechanizmów ochrony.
Źródło: SecurityWeek [EN] | Kapitan Hack [PL]
ABW zatrzymuje żołnierza WOT pod zarzutem szpiegostwa na rzecz obcego wywiadu
Infosecurity24 informuje, że funkcjonariusze ABW zatrzymali w Poznaniu żołnierza 12. Wielkopolskiej Brygady Obrony Terytorialnej pod zarzutem brania udziału w działalności obcego wywiadu na szkodę Polski. Sprawa dotyczy okresu od lipca 2023 do kwietnia 2024 roku — mężczyzna wstąpił do WOT dopiero w marcu 2024. Zgodnie z doniesieniami Gazety Wyborczej, dziewięć dni przed zatrzymaniem uczestniczył w wiecu prorosyjskiego ruchu Rodacy Kamraci. Sąd nie zgodził się na areszt, a mężczyzna został zwolniony ze służby. Sprawa jest o tyle poważna, że WOT ma dostęp do informacji o infrastrukturze obronnej i szlakach logistycznych NATO.
Źródło: Infosecurity24 [PL]
2. INCYDENTY
Ransomware na Uniwersytecie Warszawskim: grupa Interlock publikuje 850 GB danych — w tym szczegółowe dane osobowe
CyberDefence24 i AVLab informują o publikacji przez grupę ransomware Interlock ponad 850 GB danych wykradzionych z Wydziału Zarządzania Uniwersytetu Warszawskiego. Wśród opublikowanych materiałów znalazły się nie tylko typowe dane osobowe (imię, nazwisko, PESEL), ale też numery telefonów, stany cywilne, miejsca urodzenia, dane o dzieciach, a nawet waga, wzrost i kolor oczu — co sugeruje, że w bazach znajdowały się np. ankiety pracownicze lub formularze HR. Sam atak miał miejsce w lutym — przez dwa miesiące uczelnia informowała, że nie stwierdzono nieautoryzowanego dostępu do danych osobowych. AVLab zwraca uwagę, że pobranie opublikowanych przez Interlock plików może narażać na odpowiedzialność prawną.
Źródło: CyberDefence24 [PL] | AVLab [PL]
McGraw-Hill: nowe szczegóły naruszenia danych — 13,5 miliona rekordów z Salesforce powiązanych z wyciekiem
The Register ujawnia nowe szczegóły naruszenia danych w wydawnictwie edukacyjnym McGraw-Hill: atak dotknął 13,5 miliona rekordów i jest powiązany ze skompromitowaną instancją Salesforce. Wcześniej potwierdzono wyciek 135 milionów kont — skala naruszenia okazuje się być jednym z największych w historii sektora EdTech. W bazach danych McGraw-Hill znajdują się informacje o milionach studentów, nauczycieli i instytucji edukacyjnych z całego świata. HaveIBeenPwned (HIBP) Troy Hunta potwierdził dodanie bazy McGraw-Hill do systemu monitorowania naruszeń.
Źródło: The Register [EN]
Nowy malware AgingFly atakuje ukraińskie szpitale i urzędy — kampania UAC-0247 z Rosji
The Hacker News, Security Affairs i SecurityBezTabu opisują nową kampanię grupy UAC-0247 wymierzoną w ukraińskie instytucje medyczne i rządowe przy użyciu nieznanego wcześniej malware AgingFly. Złośliwe oprogramowanie jest drostatecznie sofistykowane, by unikać popularnych sandboxów i systemów EDR — zawiera moduły do trwałości, kradzieży danych i tunelowania komunikacji. Kampania jest powiązana z rosyjskim wywiadem wojskowym i wpisuje się w wzorzec ataków na infrastrukturę krytyczną Ukrainy od początku konfliktu zbrojnego. AgingFly jest szczególnie groźny dla szpitali, bo systemy medyczne rzadko mają zaawansowane narzędzia wykrywania.
Źródło: The Hacker News [EN] | Security Affairs [EN] | SecurityBezTabu [PL]
3. CIEKAWOSTKI
Virtual-IT: za cyberataki płacą zarządy — ponad 50% szefów firm ukaranych po incydentach bezpieczeństwa
Virtual-IT opisuje nowe badanie pokazujące, że w ponad połowie firm, które doświadczyły cyberataków, konsekwencje ponieśli menedżerowie najwyższego szczebla — od grzywien finansowych po utratę stanowisk w zarządzie. To znacząca zmiana w porównaniu z poprzednimi latami, gdy odpowiedzialność za incydenty bezpieczeństwa najczęściej spoczywała wyłącznie na działach IT. Badanie jest spójne z regulacjami NIS2 i DORA, które wprost nakładają odpowiedzialność osobistą na zarządy za polityki cyberbezpieczeństwa organizacji. Dla CISO to pozytywna zmiana — bezpieczeństwo staje się wreszcie tematem rozmów na poziomie C-suite, a nie tylko technicznym problemem IT.
Źródło: Virtual-IT [PL]
Schemat „przysługa dla znajomego" wyłudza tysiące złotych — Telepolis ostrzega przed nową falą SMS-ów
Telepolis opisuje rosnącą falę oszustwa „pig butchering light" w Polsce: ofiara otrzymuje SMS lub wiadomość na WhatsApp z prośbą o pilną przysługę finansową — rzekomo od znajomego w potrzebie. Kwoty zaczynają się od małych (kilkaset złotych), a po pierwszej wpłacie atakujący eskaluje roszczenia. W opisywanym przypadku strata wyniosła 800 zł, ale w innych przypadkach sięga dziesiątek tysięcy. Mechanizm jest prosty: cyberprzestępcy kupują bazy numerów telefonów i masowo wysyłają wiadomości, licząc że kilka procent odbiorców „uwierzy". Zasada: każda prośba o przelew przez SMS lub komunikator — nawet od „znajomego numeru" — wymaga telefonicznej weryfikacji głosowej.
Źródło: Telepolis [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Fałszywa strona Slack dystrybuuje trojana tworzącego ukryty pulpit na maszynie ofiary
Malwarebytes opisuje nową kampanię phishingową, w której atakujący stworzyli stronę typosquattingową imitującą oficjalną stronę Slack i umieszczali na niej trojana zamiast prawdziwej aplikacji. Po instalacji malware tworzy ukryty „wirtualny pulpit" na maszynie ofiary — kompletne, niewidoczne dla użytkownika środowisko graficzne, przez które atakujący mogą w pełni zdalnie sterować komputerem. Technika jest podstępna, bo od strony użytkownika Slack wydaje się działać normalnie — nic nie wskazuje na infekcję. Zawsze pobieraj Slack wyłącznie z slack.com lub ze sklepu systemowego — unikaj wyników Google Ads i linków z e-maili.
Źródło: Malwarebytes [EN]
Krytyczna luka w Nginx-UI omijająca uwierzytelnianie aktywnie eksploatowana
BleepingComputer informuje o aktywnym eksploatowaniu krytycznej podatności auth bypass w Nginx-UI — popularnym graficznym interfejsie webowym do zarządzania konfiguracją serwerów Nginx. Luka umożliwia dostęp do panelu administracyjnego bez podania hasła, co w praktyce oznacza możliwość przejęcia konfiguracji serwera webowego. Infosecurity Magazine potwierdza, że exploitacja trwa w środowiskach produkcyjnych. Nginx-UI jest często instalowany na serwerach VPS przez administratorów szukających wygody zarządzania — narażone są szczególnie małe organizacje i deweloperzy, którzy mogą nie mieć aktywnego monitorowania. Aktualizacja jest dostępna i powinna być wdrożona natychmiast.
Źródło: BleepingComputer [EN] | Infosecurity Magazine [EN]
Kampania malware przez zhakowaną wtyczkę WordPress — tysiące stron distribuuje złośliwe oprogramowanie
BleepingComputer opisuje atak supply chain na popularny pakiet wtyczek WordPress, który po kompromitacji zaczął dystrybuować malware do dziesiątek tysięcy stron korzystających z tych wtyczek. Atakujący uzyskali dostęp do repozytorium wtyczek i wstrzyknęli złośliwy kod do automatycznych aktualizacji — każda strona, która pobrała update, stała się narzędziem do infekowania odwiedzających. To kolejny przykład, że WordPress jest jednym z najczęściej atakowanych ekosystemów webowych — sam rdzeń jest bezpieczny, ale ogromna baza wtyczek third-party stwarza systematyczne ryzyko. Administratorzy powinni regularnie monitorować integralność plików i ograniczać instalowane wtyczki do absolutnego minimum.
Źródło: BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
CyberDefence24: rosyjscy hakerzy szpiegowali Ukrainę przez lata — ujawniona skala operacji szpiegowskiej
CyberDefence24 opisuje nowo ujawnione szczegóły wieloletniej operacji szpiegowskiej rosyjskich hakerów wymierzonej w ukraińskie instytucje rządowe, wojskowe i obronne. Operacja trwała co najmniej kilka lat i obejmowała kompromitację dziesiątek systemów informatycznych kluczowych dla ukraińskiej obrony. Ujawniona skala szpiegostwa — tysiące skompromitowanych kont i systemów — tłumaczy, dlaczego Rosja wydaje się posiadać tak dokładne informacje wywiadowcze o ukraińskiej infrastrukturze. Ujawnienie jest wynikiem wielomiesięcznej analizy forensycznej prowadzonej przez ukraińskie CERT i zachodnie agencje wywiadowcze.
Źródło: CyberDefence24 [PL]
CERT Orange: Meta zarobiła 16 mld dolarów na scamach w 2025 roku — dlaczego to się nie zmieni
CERT Orange Polska opisuje raport analizujący przychody Meta z reklam promujących oszustwa — szacowane na 16 miliardów dolarów w 2025 roku. Mechanizm jest prosty: algorytmy Meta optymalizują reklamy pod kątem zaangażowania i konwersji, a oszukańcze reklamy inwestycyjne i kryptowalutowe generują bardzo wysokie wskaźniki kliknięć — platforma nie ma ekonomicznego interesu w ich usuwaniu poza wymaganiami regulacyjnymi. CERT wskazuje, że presja regulacyjna (DSA w Europie) ma pewien wpływ, ale bez systemowych kar uzależnionych od skali szkód, Meta będzie wciąż „karmić się scamem". Artykuł jest ważnym kontekstem dla zrozumienia, dlaczego fałszywe reklamy inwestycyjne z wizerunkami polityków i celebrytów tak długo pozostają online.
Źródło: CERT Orange Polska [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 16 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
Estimated Payout
$0.14
Discussion
No comments yet. Be the first!