Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
The Register informuje: Microsoft zmiękł po publicznym konflikcie z badaczem bezpieczeństwa publikującym exploit za exploitem pod pseudonimem "Nightmare Eclipse". Zamiast eskalować groźby śledztwa karnego, Microsoft zaproponował badaczowi formalną współpracę w ramach rozszerzonego programu bug bounty i koordynowanego ujawniania podatności. Według The Register napięcie ustąpiło po tym, gdy środowisko bezpieczeństwa masowo stanęło po stronie badacza, a kilka organizacji branżowych otwarcie skrytykowało politykę Microsoftu jako "prawne zastraszanie zamiast dialogu". Sprawa jest precedensem: staje się jasne, że zagrożenia prawnymi konsekwencjami wobec badaczy publikujących PoC mogą odstraszać od odpowiedzialnego ujawniania luk.
Źródło: The Register [EN]
Google opublikowało czerwcową aktualizację bezpieczeństwa Android: łata się 124 podatności, w tym jeden zero-day aktywnie eksploitowany w atakach (CVE z kategorii eskalacji uprawnień w jądrze systemu). CISA wydała oddzielny alert wzywający agencje federalne do natychmiastowej aktualizacji. Aktualizacje Android pojawiają się stopniowo u różnych producentów — użytkownicy powinni sprawdzić dostępność łatki w ustawieniach systemu. Producenci telefonów bez regularnych aktualizacji bezpieczeństwa stanowią chroniczny problem dla bezpieczeństwa urządzeń mobilnych.
Źródło: BleepingComputer [EN], SecurityWeek [EN]
Rząd przyjął projekt ustawy wprowadzającej obowiązek weryfikacji wieku przed dostępem do treści pornograficznych online. Polska dołącza tym samym do Francji, Niemiec i Wielkiej Brytanii, które już wdrożyły lub wdrażają podobne regulacje. Niebezpiecznik komentuje krytycznie: sama intencja ochrony dzieci jest słuszna, ale implementacja rodzi poważne pytania — każda skuteczna metoda weryfikacji (dokument tożsamości, numer telefonu, biometria) wiąże się z gromadzeniem wrażliwych danych o zachowaniach seksualnych użytkowników. Ustawa trafi teraz do Sejmu, gdzie te sprzeczności będą przedmiotem debaty.
Źródło: Niebezpiecznik [PL]
BleepingComputer, Security Affairs i CyberDefence24 opisują nową falę przejęć kont Instagram: cyberprzestępcy odkryli, że przez kanał Meta AI dostępny w wiadomościach Instagram można inicjować procedury odzyskiwania konta w sposób omijający standardową weryfikację. Atakujący wchodzili w interakcję z botem Meta AI, który — nieprzygotowany na socjotechnikę — był manipulowany do przekierowania dostępu do konta. Tysiące kont trafiło w ręce przestępców, którzy zmieniają dane logowania i używają ich do kampanii spamowych lub wyłudzeń wobec znajomych ofiary. Meta pracuje nad poprawką izolacji kanału wsparcia AI od uprawnień konta.
Źródło: BleepingComputer [EN], CyberDefence24 [PL]
CyberDefence24 informuje o poważnym naruszeniu bezpieczeństwa w jednostce samorządowej lub instytucji na Pomorzu, w wyniku którego wyciekły dane osobowe prawie 40 000 osób. Zakres wycieku obejmuje dane identyfikacyjne, kontaktowe i potencjalnie inne kategorie danych gromadzonych przez zaatakowaną instytucję. Śledztwo trwa, UODO zostało powiadomione. To kolejny incydent w polskiej administracji publicznej — po Lewinie Kłodzkim, Tczewie i Krakowie — wskazujący na systemowe niedostatki w zabezpieczeniach IT samorządów.
Źródło: CyberDefence24 [PL]
Sekurak dostarcza nowych, wstrząsających szczegółów kampanii Megalodon: złośliwy bot zdołał wstrzyknąć złośliwy kod do ponad 5700 commitów w repozytoriach GitHub w zaledwie 6 godzin, używając skradzionych tokenów dostępu deweloperów. To poziom automatyzacji, który przekracza wszystkie wcześniejsze ataki supply chain na GitHub pod względem szybkości. Złośliwy kod był tak skonstruowany, by aktywować się wyłącznie w środowiskach CI/CD — omijając wykrycie podczas standardowej analizy kodu. GitHub wykrył kampanię i unieważnił zainfekowane commity, lecz część z nich zdążyła "wbudować się" w downstream projekty.
Źródło: Sekurak [PL]
Sekurak opisuje nowo odkrytą technikę prompt injection w GitHub Codespaces — środowisku programistycznym w chmurze: atakujący może wstrzyknąć złośliwe instrukcje do agenta AI (używanego do podpowiedzi kodowania) przez przemianowanie pliku konfiguracyjnego na taki, który agent odczytuje i interpretuje jako instrukcje systemowe. Skutek: agent AI w Codespaces może zostać nakłoniony do ujawnienia sekretów środowiskowych, modyfikacji kodu lub eksfiltracji tokenów. To nowa klasa zagrożeń specyficznych dla środowisk deweloperskich z wbudowanym AI.
Źródło: Sekurak [PL]
Kapitan Hack opisuje NightSpire — nową grupę ransomware, która wyróżnia się… brakiem wyróżnienia technicznego. Zamiast sofistykowanych exploitów, NightSpire stosuje brute force na portach RDP i SSH z listami haseł pobranych z ciemnej sieci, czeka tygodniami na przejęcie wystarczającej liczby systemów i dopiero wtedy szyfruje i żąda okupu. Skuteczność grupy jest zadziwiająca: połowa zaatakowanych organizacji miała aktywne systemy EDR, które nie wykryły powolnej, cierpliwej penetracji. Lekcja: ochrona przed "nudnymi" atakami wymaga takiej samej uwagi jak ochrona przed zaawansowanymi APT.
Źródło: Kapitan Hack [PL]
CERT Polska opublikował wpis "Zaufanie liczone w tysiącach" — celebrujący przekroczenie kolejnego progu subskrybentów portalu moje.cert.pl. System alertów CERT Polska, który informuje zarejestrowanych użytkowników i administratorów o nowych zagrożeniach, luciach i kampaniach phishingowych, stał się istotnym elementem polskiej infrastruktury świadomości cyberbezpieczeństwa. Rosnąca liczba subskrybentów świadczy, że Polacy coraz częściej aktywnie szukają informacji o zagrożeniach — a nie tylko czekają, aż ich to dotknie.
Źródło: CERT Polska [PL]
Malwarebytes opisuje wyrafinowaną kampanię phishingową: ofiary otrzymują wiadomości e-mail wyglądające jak oficjalne powiadomienia Google o naruszeniu praw autorskich (DMCA takedown notice) dotyczące ich kanału YouTube lub konta Drive. Mail informuje o konieczności "potwierdzenia tożsamości" w ciągu 24 godzin przez link — który prowadzi na fałszywą stronę logowania Google. Kampania jest skuteczna, bo naruszenie copyright wywołuje silne emocje i presję czasową, wyłączając chłodną ocenę sytuacji. Zawsze weryfikuj adres URL przed podaniem danych logowania.
Źródło: Malwarebytes [EN]
CERT Polska ostrzega przed nową falą ataków, w której przestępcy wysyłają wiadomości z prośbą o "weryfikację konta" lub "aktualizację danych" przez link. Mechanizm jest prosty i ponadczasowy — link prowadzi na stronę phishingową imitującą usługę (bank, e-mail, portal rządowy). Nowe w tej kampanii jest precyzyjne targetowanie: wiadomości są dostosowywane do usług, z których ofiara faktycznie korzysta, co sugeruje, że atakujący dysponują bazami z częściowymi informacjami o ofiarach. Zasada: nigdy nie loguj się przez link z e-maila lub SMS — zawsze wpisuj adres ręcznie.
Źródło: CERT Polska / moje.cert.pl [PL]
The Register opisuje komunikat rosyjskiej Federalnej Służby Bezpieczeństwa, w którym FSB twierdzi, że zachodnie agencje wywiadowcze przejęły kontrolę nad smartfonami rosyjskich urzędników państwowych i zamieniły je w urządzenia do stałej inwigilacji. Analitycy zwracają uwagę na ironię: to dokładnie te techniki, które Rosja sama stosuje wobec polityków i dziennikarzy na Zachodzie (SandRobber, PEGASUS-like tools). Rosyjski komunikat jest prawdopodobnie elementem strategii "equivalence" — kreowania narracji, że obie strony robią to samo, by uzasadnić własne operacje.
Źródło: The Register [EN]
CyberDefence24 opisuje wykrytą kampanię dezinformacyjną: na Facebooku krążą fałszywe artykuły przypisujące polskiemu Ministrowi Spraw Zagranicznych Radosławowi Sikorskiemu szokujące wypowiedzi i działania, które nigdy nie miały miejsca. Ślad prowadzi do sieci kont powiązanych z wietnamskimi farmami treści — prawdopodobnie wynajętymi do dystrybucji treści przez zewnętrznego zleceniodawcę zainteresowanego destabilizacją polskiej sceny politycznej. Mechanizm jest typowy dla dezinformacji politycznej: cel jest wystarczająco prominentny, by fałszywe treści wzbudzały emocje i się rozchodziły, a powiązanie z wietnamskim operatorem maskuje rzeczywistego zleceniodawcę.
Źródło: CyberDefence24 [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 2 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
