Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CyberDefence24 ujawnia nowe ustalenia dotyczące kampanii FortiBleed: analitycy potwierdzili aktywne użycie skradzionych poświadczeń FortiGate do przełamania zabezpieczeń konkretnych brytyjskich instytucji rządowych i finansowych. Ślad prowadzi do grup powiązanych z rosyjskim wywiadem wojskowym GRU. Przypadek UK jest dobrze udokumentowany i potwierdza najgorszą prognozę analityków: FortiBleed był nie tylko ekspozycją danych, ale zaplanowanym pierwszym etapem szerzej zakrojonych rosyjskich operacji cybernetycznych wymierzonych w infrastrukturę NATO. Polska, jako kraj używający urządzeń Fortinet w sektorach krytycznych, powinna traktować ten incydent jako własne ostrzeżenie.
Źródło: CyberDefence24 [PL]
Sekurak opisuje Dirty Clone — nową metodę eskalacji uprawnień lokalnych (LPE) w jądrze Linux, dla której udostępniony jest już publiczny kod proof-of-concept. Technika eksploatuje mechanizm klonowania procesów w połączeniu z błędami w zarządzaniu pamięcią. Maj 2026 "Miesiąc Linux LPE" trwa — kolejna luka dołącza do listy CopyFail, Dirty Frag, CIFSwitch i innych. PoC sprawia, że okno eksploatacji jest krótkie: organizacje używające jądra Linux (serwery, IoT, urządzenia przemysłowe) muszą priorytetowo planować aktualizacje.
Źródło: Sekurak [PL]
Virtual-IT.pl opisuje eskalację techniki Device Code Phishing — ataku, w którym ofiara jest nakłaniana do wpisania kodu urządzenia na stronie Microsoft, nieświadomie dając atakującemu pełny token dostępu OAuth do swojego konta M365. Atakujący uzyskuje dostęp do poczty, Teams, SharePoint i OneDrive — bez znajomości hasła i bez triggeru MFA. Technika jest szczególnie skuteczna w kampaniach spear-phishingowych podszywających się pod prośby o zalogowanie do platformy konferencyjnej lub dokumentu. Obrona: szkolenia użytkowników i Conditional Access Policy blokująca nieautoryzowane rejestracje urządzeń.
Źródło: Virtual-IT.pl [PL]
BleepingComputer potwierdza aktywną eksploatację krytycznej podatności w Adobe ColdFusion — silniku aplikacji webowych używanym przez tysiące organizacji rządowych, finansowych i edukacyjnych, szczególnie w USA. Podatność osiągnęła ocenę CVSS 10.0 (maksimum) i umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Adobe wydało łatkę, lecz aktywna eksploatacja oznacza, że organizacje, które jeszcze nie zaktualizowały systemów, są w bezpośrednim niebezpieczeństwie.
Źródło: BleepingComputer [EN]
BleepingComputer opisuje kampanię nadużywającą Microsoft Teams: atakujący tworzą konta "zewnętrznych gości" i kontaktują się z pracownikami korporacyjnymi przez Teams, podszywając się pod firmowy helpdesk IT. Nakłaniają do pobrania "narzędzia diagnostycznego" — w rzeczywistości EtherRAT, trojana zdalnego dostępu. Teams jest postrzegany przez pracowników jako zaufany, wewnętrzny kanał, co sprawia że czujność jest niższa. Zabezpieczenie: ogranicz możliwość kontaktowania się przez Teams do zaufanych, zweryfikowanych domen.
Źródło: BleepingComputer [EN]
Kapitan Hack opisuje aktywną eksploatację CVE w Oracle E-Business Suite — systemie ERP obsługującym finanse, HR i zamówienia w tysiącach globalnych korporacji. Atakujący używają exploita do uzyskania dostępu do modułów finansowych, co potencjalnie pozwala na przeglądanie i modyfikację danych księgowych, faktur i kontraktów. Oracle wydało łatkę, lecz złożoność środowisk ERP sprawia, że wdrożenie aktualizacji jest powolne. Organizacje powinny priorytetowo traktować aktualizację przed kolejnym cyklem finansowym.
Źródło: Kapitan Hack [PL]
CyberDefence24 ujawnia niepokojący przypadek: w Biuletynie Informacji Publicznej (BIP) jednej z instytucji publicznie dostępne były dokumenty z kontroli ZUS, w których błędna anonimizacja pozostawiła widoczne ponad 250 pełnych numerów PESEL — zamiast zastąpić je gwiazdkami lub zasłonić je prawidłowo. PESEL w połączeniu z imieniem i nazwiskiem (które można łatwo ustalić z kontekstu dokumentu) to wystarczające dane do wielu form wyłudzeń. UODO zostało powiadomione. To kolejny przykład, że anonimizacja danych wymaga nie tylko dobrej woli, ale i narzędzi oraz szkoleń.
Źródło: CyberDefence24 [PL]
Kapitan Hack opisuje raport badaczy ujawniający sześć nowych podatności w protokołach AirDrop (Apple) i Quick Share (Google/Android) — popularnych mechanizmach bezprzewodowego przesyłania plików. Luki obejmują możliwość śledzenia urządzenia ofiary bez jej zgody, wymuszenie odbioru niechcianego pliku mimo wyłączonych opcji odbioru i — w najpoważniejszym przypadku — wykonanie kodu w kontekście usługi przez spreparowany plik. Obie firmy są powiadomione i pracują nad łatkami.
Źródło: Kapitan Hack [PL]
CERT Orange Polska opublikował szczegółową analizę ataku flash loan na zdecentralizowaną giełdę Cetus Protocol: przestępca wziął ogromną pożyczkę kryptowalutową w ramach pojedynczej transakcji blockchain, zmanipulował cenę tokenów na giełdzie, skorzystał z różnicy cen, spłacił pożyczkę i uciekł z zyskiem — wszystko w ułamku sekundy. Atak ujawnił fundamentalne ryzyko protokołów DeFi: brak możliwości cofnięcia transakcji blockchain sprawia, że skradziony majątek jest praktycznie nie do odzyskania. Artykuł tłumaczy mechanizm przystępnie dla niespecjalistów.
Źródło: CERT Orange Polska [PL]
CyberDefence24 opisuje zaskakujący nowy schemat: nielegalne kasyno internetowe używa interfejsu wizualnie identycznego z systemem płatności BLIK — ekrany, czcionki, komunikaty — wprowadzając użytkowników w błąd co do tego, komu faktycznie przekazują pieniądze. Gracze myślą, że dokonują płatności BLIK za legalne usługi, a w rzeczywistości zasilają nierejestrowane kasyno. Schemat jest podwójnie nielegalny: podszywanie się pod system płatności i prowadzenie nielicencjonowanego hazardu.
Źródło: CyberDefence24 [PL]
Security Bez Tabu i BleepingComputer opisują wyrafinowaną kampanię: fałszywe e-maile z zaproszeniami na "rozmowę kwalifikacyjną" od znanych firm technologicznych (Google, Meta, Amazon, Microsoft) kierują kandydatów na strony zbierające poświadczenia Google — pod pretekstem "zalogowania się na platformę rekrutacyjną". Kampania jest szczególnie skuteczna wobec osób aktywnie szukających pracy, bo dokładnie wycelowuje w moment gotowości do działania. Przed zalogowaniem się do jakiejkolwiek "platformy rekrutacyjnej" — zweryfikuj domenę niezależnie od domeny firmy, która zaprosiła.
Źródło: Security Bez Tabu [PL] The Hacker News [EN]
Hackread informuje: wspólna operacja FBI i hiszpańskich organów ścigania doprowadziła do aresztowania w Hiszpanii osoby powiązanej z grupą Cyber Army Russia Reborn — rosyjskiego kolektywu hakerskiego odpowiedzialnego za ataki DDoS i defacement na zachodnie instytucje rządowe, infrastrukturę energetyczną i systemy transportowe. Aresztowanie jest precedensowe: dotychczas rosyjskie grupy hacktivistyczne operowały ze względną bezkarnością, licząc na schronienie poza zasięgiem zachodnich służb. Hiszpania staje się w ten sposób miejscem realizacji globalnych nakazów aresztowania za cyberprzestępczość.
Źródło: Hackread [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 7 lipca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.