Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CERT Polska opublikował w ramach odpowiedzialnego ujawnienia (CVD) trzy podatności w oprogramowaniu Hydrosystem Control System — systemie używanym do sterowania stacjami pomp i infrastrukturą wodociągową. Najgroźniejsze to: wstrzyknięcie SQL (CVE-2026-34185), brak weryfikacji autoryzacji (CVE-2026-34184) i zapisywanie wrażliwych danych w logach (CVE-2026-4901) — wszystkie dotyczą wersji poniżej 9.8.5. Podatności tego rodzaju w systemach OT (Operational Technology) zarządzających infrastrukturą wodną są szczególnie poważne: dają potencjalnie możliwość zdalnej manipulacji pracą pomp bez wiedzy operatora. CERT koordynował proces z producentem i zaleca natychmiastową aktualizację do wersji 9.8.5 lub nowszej.
Źródło: CERT Polska [PL]
BleepingComputer, The Hacker News i HelpNetSecurity informują, że Adobe Reader zawierał krytyczną podatność zero-day eksploatowaną przez hakerów od co najmniej grudnia 2025 roku — a więc przez ponad trzy miesiące, zanim Adobe wydało łatki. Błąd umożliwiał wykonanie złośliwego kodu po prostu przez otwarcie spreparowanego pliku PDF. Kampania była wycelowana głównie w firmy i instytucje rządowe — pliki PDF były dostarczane w phishingowych e-mailach podszywających się pod faktury i dokumenty prawne. CISA dodała podatność do katalogu Known Exploited Vulnerabilities. Wszystkim użytkownikom Adobe Acrobat i Reader zalecana jest natychmiastowa aktualizacja.
Źródło: BleepingComputer [EN] | The Hacker News [EN] | HelpNetSecurity [EN] | The Register [EN]
CyberDefence24 informuje, że podczas konferencji Resilience_Tech 2026 w Bydgoszczy wiceminister cyfryzacji Paweł Olszewski ogłosił, że Polska stworzyła własny szyfrowany komunikator dla administracji rządowej, samorządowej i podmiotów infrastruktury krytycznej. Aplikacja powstała wspólnie przez Ministerstwo Cyfryzacji, NASK i ABW, jest hostowana na polskich serwerach i pozostaje niedostępna z zewnątrz. Aktualnie trwa faza testów na zamkniętej grupie użytkowników. W przyszłości nie wyklucza się udostępnienia aplikacji obywatelom. To odpowiedź na potrzebę suwerennej, bezpiecznej komunikacji — analogiczna do inicjatyw w Niemczech i Francji, które nie chcą polegać wyłącznie na komercyjnych dostawcach komunikatorów z USA.
Źródło: CyberDefence24 [PL]
The Hacker News opisuje nową kampanię grupy APT28 (GRU), w której hakerzy wdrażają dotychczas nieznane złośliwe oprogramowanie o nazwie PRISMEX. Narzędzie to jest wyrafinowanym backdoorem wyposażonym w moduły do kradzieży poświadczeń, przechwytywania schowka, keyloggowania i eksfiltracji plików przez zaszyfrowany tunel. PRISMEX wydaje się logiczną ewolucją wcześniejszych narzędzi GRU — X-Agent i Sofacy — dostosowaną do omijania nowoczesnych systemów EDR. Kampania obejmuje cele w sektorze rządowym i dyplomatycznym w Europie Wschodniej i krajach NATO, ze szczególnym uwzględnieniem podmiotów zaangażowanych we wsparcie Ukrainy.
Źródło: The Hacker News [EN]
CyberDefence24 informuje o incydencie danych w Polskich Liniach Lotniczych LOT: pod koniec marca błąd aplikacji odpowiedzialnej za przypisywanie raportów konkretnym odbiorcom spowodował, że ponad 300 pracowników otrzymało e-mailem roczne arkusze ocen swoich kolegów i koleżanek. Dokumenty zawierają nie tylko dane osobowe, ale też oceny punktowe, informacje o skargach, certyfikatach, szkoleniach i wynikach. LOT potwierdził incydent i twierdzi, że wysyłka została wstrzymana po wykryciu błędu, ale anonimowe źródła sugerują, że skala wycieku może być większa niż oficjalnie przyznano. Incydent pokazuje, że wycieki wewnętrzne spowodowane błędami aplikacji są równie poważnym zagrożeniem co ataki zewnętrzne.
Źródło: CyberDefence24 [PL]
BleepingComputer i SecurityWeek informują, że Eurail — europejski operator przepustek kolejowych — potwierdził, że grudniowy atak hakerski dotknął dane 300 000 osób. Wśród wykradzionych informacji znajdują się imiona i nazwiska, adresy e-mail, a w niektórych przypadkach dane paszportowe i daty urodzenia. Eurail poinformował o incydencie organy ochrony danych i zaczął rozsyłać powiadomienia do poszkodowanych z 4-miesięcznym opóźnieniem — co samo w sobie budzi pytania o zgodność z wymogami RODO (72 godziny na zgłoszenie). Osoby dotknięte wyciekiem powinny być czujne na próby phishingu i nie otwierać e-maili rzekomo od Eurail z prośbami o weryfikację danych.
Źródło: BleepingComputer [EN] | SecurityWeek [EN]
SecurityWeek i BleepingComputer donoszą, że Bitcoin Depot — jeden z największych operatorów kryptowalutowych bankomatów w USA — potwierdził kradzież 3,6 miliona dolarów z firmowych portfeli cyfrowych. Atak polegał na przejęciu dostępu do infrastruktury zarządzającej funduszami przechowywanymi w bankomatach. Bitcoin Depot obsługuje ponad 8000 bankomatów i jest spółką notowaną na giełdzie. Incydent pokazuje, że firmy z sektora kryptowalutowego pozostają wysokim priorytetem dla przestępców — w ostatnich tygodniach zaatakowana była też platforma Drift (285 mln dolarów) i kilka mniejszych projektów DeFi.
Źródło: SecurityWeek [EN] | BleepingComputer [EN]
SecurityWeek i The Register opisują badania, w których naukowcom udało się ominąć mechanizmy bezpieczeństwa Apple Intelligence (asystenta AI zintegrowanego w iOS/macOS) bez modyfikowania systemu. Atak — nazwany „intent redirection" — polegał na spreparowaniu kontekstu wywołania asystenta w taki sposób, by wykonał on działania niezamierzone przez użytkownika, np. wysłał dane do zewnętrznego serwera lub udostępnił poufne informacje. Microsoft opublikował osobną analizę o podatności na intent redirection w SDK dla Androida. Badania ujawniają, że integracja AI w systemach operacyjnych tworzy nową kategorię powierzchni ataku, której zabezpieczenie wymaga nowego podejścia — nie tylko skanowania złośliwego kodu, ale też weryfikowania intencji.
Źródło: SecurityWeek [EN] | The Register [EN]
Dark Reading opisuje odkrycie badaczy, że niektóre grupy cyberprzestępcze używają emoji osadzonych w poleceniach C2 (command and control) jako steganograficznego narzędzia ukrywania komunikacji. Technika polega na tym, że sekwencje konkretnych emotikonek kodują rozkazy dla złośliwego oprogramowania — skanery bezpieczeństwa szukające podejrzanych poleceń w czystym tekście mają trudność z interpretacją takich sekwencji. Metoda jest szczególnie skuteczna w kanałach komunikacji, które notorycznie zawierają emoji (Telegram, Discord). To kolejny przykład, jak hakerzy adaptują do własnych celów legitymacyjne funkcje popularnych platform.
Źródło: Dark Reading [EN]
PREBYTES Security Incident Response Team (SIRT) opublikował szczegółową analizę kampanii phishingowej, która pojawia się w szczycie sezonu rozliczeń PIT, podszywając się pod Platformę Usług Elektronicznych Skarbowo-Celnych (PUESC). E-maile z fałszywych adresów sugerujących powiązanie z Ministerstwem Finansów informują o przyznaniu konkretnej kwoty zwrotu (1776,10 zł) i wymagają „potwierdzenia danych do wypłaty" w ciągu 48 godzin. Wieloetapowy formularz zbiera PESEL, dane adresowe, a na końcu pełne dane karty płatniczej — pod pozorem wyboru metody wypłaty. PUESC nigdy nie prosi o dane karty przez e-mail — jedyną bezpieczną metodą weryfikacji jest logowanie bezpośrednio przez stronę podatki.gov.pl.
Źródło: SIRT.pl [PL]
BleepingComputer opisuje nową technikę stosowaną przez grupy Magecart (specjalizujące się w kradzieży danych kart na stronach zakupowych): złośliwy kod skimmera jest ukryty wewnątrz pliku SVG (grafiki wektorowej) o rozmiarze dosłownie 1×1 piksela. Obraz jest niewidoczny dla użytkownika i administratora strony, lecz ładuje się razem z kodem strony i aktywuje się w momencie wypełniania formularza płatności. Technika skutecznie omija wiele systemów monitorowania integralności plików, bo obrazki SVG rzadko są traktowane jako potencjalny wektor zagrożenia. Administratorzy sklepów internetowych powinni wdrożyć subresource integrity i regularne skanowanie treści statycznych.
Źródło: BleepingComputer [EN]
Dobreprogramy i CERT Orange Polska ostrzegają przed nasileniem fali SMS-ów informujących o konieczności „pilnej aktualizacji karty SIM" z linkiem do fałszywej strony operatora — identyczne ostrzeżenie wczoraj opublikowały też Instalki.pl. Kampania jest aktywna i ewidentnie skalowana — to samo SMS-y docierają do użytkowników różnych operatorów. Strony phishingowe zbierają dane logowania do bankowości lub numer karty płatniczej pod pretekstem weryfikacji abonenta. Zasada jest prosta: operatorzy nie kontaktują się w sprawie karty SIM przez SMS z linkiem — jedyna legalna wymiana karty wymaga wizyty w salonie z dowodem tożsamości. SMS-y należy zgłaszać przez portal moje.cert.pl.
Źródło: Dobreprogramy [PL]
CyberDefence24 analizuje raport The Jamestown Foundation o bezprecedensowej jawności rosyjskiej operacji wpływu w Gruzji: po śmierci patriarchy Eliasza II rosyjska Służba Wywiadu Zagranicznego (SWR) wydała oficjalne oświadczenie oskarżające patriarchę ekumenicznego Bartłomieja I o destabilizację Gruzińskiego Kościoła Prawosławnego — sugerując tym samym chęć wpływania na wybór następcy. Jak analizuje The Jamestown Foundation, jest to wyjątkowo bezpośrednia interwencja, nieukrywana za pośrednikami czy anonimowymi kanałami. Według raportu ESDZ w 2025 roku SWR przyjęła bardziej widoczną rolę w operacjach informacyjnych, publikując oficjalne komunikaty zawierające fałszywe twierdzenia, by nadać dezinformacji pozory instytucjonalnej wiarygodności.
Źródło: CyberDefence24 [PL]
HackRead i CyberScoop opisują szczegóły operacji Masquerade — koordynowanej przez FBI akcji rozbijającej infrastrukturę szpiegowską APT28/Forest Blizzard opartą na przejętych routerach. Akcja formalnie zakończyła działalność sieci liczącej tysiące przejętych urządzeń SOHO, przez które rosyjski GRU przechwytywał tokeny uwierzytelniające Microsoft 365 użytkowników w kilkudziesięciu krajach. Co ciekawe: FBI skorzystało z sądowego upoważnienia do zdalnego „czyszczenia" konfiguracji DNS na przejętych routerach w USA — kontrowersyjna, ale coraz częściej stosowana metoda, pozwalająca na „odtrucie" urządzeń bez fizycznego dostępu. Operacja jest milowym krokiem w podejściu do cyberobrony, gdzie władze aktywnie neutralizują infrastrukturę atakującego, a nie tylko ostrzegają ofiary.
Źródło: HackRead [EN] | CyberScoop [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 9 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.