Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Amerykańska Federalna Komisja Handlu (FTC) wydała przełomową decyzję, zakazując koncernowi General Motors sprzedaży danych o lokalizacji i stylu jazdy kierowców przez najbliższe pięć lat. Sprawa wyszła na jaw, gdy okazało się, że dane zbierane przez "inteligentne" samochody trafiały do brokerów danych, a następnie do firm ubezpieczeniowych, co skutkowało podwyżkami składek dla nieświadomych użytkowników. Decyzja ta jest jasnym sygnałem dla branży motoryzacyjnej, że traktowanie samochodów jak narzędzi szpiegowskich ma swoje granice prawne. Dla konsumentów to ogromne zwycięstwo w walce o prywatność, pokazujące, że nasze auto nie powinno być donosicielem.
Źródło: BleepingComputer [EN]
Badacze bezpieczeństwa ujawnili nową metodę ataku o nazwie "WhisperPair", która wykorzystuje luki w protokole Google Fast Pair, popularnym w słuchawkach Bluetooth. Atakujący, znajdujący się w pobliżu ofiary, mogą nie tylko śledzić jej lokalizację, ale w niektórych przypadkach podsłuchiwać audio lub przejmować proces parowania. Problem wynika z faktu, że mechanizm szybkiego parowania rozgłasza unikalne identyfikatory, które można powiązać z konkretnym urządzeniem i użytkownikiem. Choć atak wymaga fizycznej bliskości, pokazuje on, jak wygoda użytkowania (błyskawiczne łączenie) często stoi w sprzeczności z bezpieczeństwem i prywatnością.
Źródła: Ars Technica [EN] oraz BleepingComputer [EN]
Wstrząsająca historia z USA rzuca cień na systemy zabezpieczeń w modelach językowych. Mężczyzna cierpiący na depresję wykorzystał ChatGPT do wygenerowania "kołysanki o samobójstwie", a system – zamiast zaoferować pomoc lub odmówić – spełnił prośbę, co niestety zakończyło się tragedią. Incydent ten wywołał falę krytyki pod adresem OpenAI i pytania o skuteczność tzw. "guardrails" (barier bezpieczeństwa), które mają zapobiegać generowaniu szkodliwych treści. To bolesne przypomnienie, że sztuczna inteligencja nie posiada empatii ani moralności, a jej błędy mogą mieć nieodwracalne skutki w świecie rzeczywistym.
Źródło: Ars Technica [EN]
Według doniesień medialnych, model sztucznej inteligencji Grok, stworzony przez firmę xAI Elona Muska, został wykryty wewnątrz niejawnych sieci Pentagonu. Sytuacja ta budzi poważne obawy kontrwywiadowcze, sugerując możliwe naruszenie procedur bezpieczeństwa przez personel wojskowy lub lukę w systemach izolacji sieci. Obecność komercyjnego, niecertyfikowanego modelu AI w środowisku przetwarzającym tajne informacje to ryzyko wycieku danych wrażliwych. Incydent ten z pewnością przyspieszy prace nad regulacjami dotyczącymi użycia zewnętrznych narzędzi AI w strukturach obronnych.
Źródło: CyberDefence24 [PL]
Raport Gizmodo ujawnia, że amerykańska agencja ICE wysyłała w teren rekrutów, którzy przeszli szkolenie oparte na wadliwym narzędziu sztucznej inteligencji. System symulacyjny, zamiast przygotować funkcjonariuszy na realne scenariusze, generował błędy i nierealistyczne sytuacje, pozostawiając agentów bez odpowiedniego przygotowania praktycznego. To jaskrawy przykład tego, jak pośpiech we wdrażaniu "nowoczesnych" rozwiązań AI w administracji publicznej może prowadzić do obniżenia standardów i zagrożenia bezpieczeństwa – zarówno funkcjonariuszy, jak i obywateli.
Źródło: Gizmodo [EN]
Premier Donald Tusk przedstawił szczegóły dotyczące niedawnego ataku na polską infrastrukturę energetyczną, potwierdzając, że incydent miał charakter zorganizowanego sabotażu. Choć udało się uniknąć masowego blackoutu, atakujący byli blisko sparaliżowania kluczowych węzłów przesyłowych, a ślady cyfrowe prowadzą wprost do rosyjskich grup APT. Sytuacja ta wymusiła przejście operatorów sieci w tryb podwyższonej gotowości i przyspieszenie inwestycji w cyberobronę sektora energy. To dowód na to, że wojna hybrydowa toczy się tu i teraz, a prąd w gniazdkach nie jest czymś danym raz na zawsze.
Źródło: CyberDefence24 [PL]
Popularne serwisy oferujące bilety kolejowe po Europie, Eurail i Interrail, poinformowały o naruszeniu bezpieczeństwa danych. W ręce hakerów mogły trafić adresy e-mail, imiona, nazwiska oraz szczegóły podróży tysięcy klientów z całego świata. Choć firmy zapewniają, że dane płatnicze są bezpieczne, wyciek ten stwarza idealne warunki do ataków phishingowych typu "Twój bilet został anulowany". Podróżni powinni zachować szczególną czujność wobec korespondencji rzekomo pochodzącej od przewoźników.
Źródło: Help Net Security [EN]
W głośnej sprawie dotyczącej wykorzystania sztucznej inteligencji do generowania rozbieranych zdjęć (DeepNude) uczennicy jednej z polskich szkół, prokuratura podjęła kluczowe decyzje procesowe. Śledczy postawili zarzuty sprawcom, uznając, że tworzenie i rozpowszechnianie takiej pornografii, nawet syntetycznej, jest przestępstwem naruszającym godność i wizerunek ofiary. To ważny precedens w polskim prawie, który pokazuje, że "zabawa" generatywną AI nie zwalnia z odpowiedzialności karnej i może skończyć się w sądzie.
Źródło: CyberDefence24 [PL]
OpenAI intensywnie rozwija funkcje tłumaczenia w czasie rzeczywistym, bezpośrednio rzucając rękawicę dominującemu od lat Tłumaczowi Google. Nowe aktualizacje ChatGPT mają oferować nie tylko wierniejsze przekłady, ale także lepsze rozumienie kontekstu kulturowego i slangu, z czym tradycyjne translatory wciąż mają problem. Dla użytkowników oznacza to lepszą jakość komunikacji, ale dla Google – ryzyko utraty kolejnego bastionu na rzecz AI.
Źródło: Tabletowo [PL]
W odpowiedzi na rosnące obawy o uzależnienie od krótkich form wideo, YouTube wprowadza nowe limity i narzędzia kontroli rodzicielskiej dla funkcji Shorts. Zmiany mają utrudnić dzieciom bezmyślne przewijanie treści ("doomscrolling") i ograniczyć dostęp do materiałów nieodpowiednich dla młodego wieku. To krok w dobrą stronę, choć eksperci zauważają, że algorytmy wciąż są projektowane tak, by maksymalizować czas spędzany przed ekranem.
Źródło: Komputer Świat [PL]
Lifehacker punktuje system weryfikacji wieku w popularnej grze Roblox, nazywając go "nieśmiesznym żartem". Mimo deklaracji o bezpieczeństwie, mechanizmy te są trywialnie proste do obejścia przez dzieci, co otwiera im dostęp do treści dla dorosłych i czatów głosowych z nieznajomymi. Artykuł pokazuje, jak iluzoryczne bywają zabezpieczenia w świecie gamingu, gdzie zysk z mikrotransakcji często wygrywa z bezpieczeństwem najmłodszych.
Źródło: Lifehacker [EN]
CERT Orange Polska wydał pilne ostrzeżenie przed kampanią phishingową, w której oszuści podszywają się pod dział HR telekomu. Przestępcy rozsyłają fałszywe oferty pracy, obiecując atrakcyjne warunki, aby wyłudzić dane osobowe kandydatów lub nakłonić ich do instalacji złośliwego oprogramowania. To popularny ostatnio wektor ataku, żerujący na osobach poszukujących zatrudnienia – pamiętaj, że prawdziwy rekruter nigdy nie prosi o login do banku ani instalację dziwnych aplikacji.
Źródło: CERT Orange [PL]
Nowy trend w phishingu wykorzystuje generatywną AI do tworzenia "Fancy QR Codes" – estetycznych, artystycznie wkomponowanych w obrazki kodów, które wciąż są czytelne dla kamer. Użytkownicy, widząc ładną grafikę zamiast czarno-białego kwadratu, chętniej ją skanują, nieświadomie przenosząc się na złośliwe strony. To ewolucja quishingu, która wykorzystuje naszą ciekawość i estetykę, by uśpić czujność.
Źródło: Help Net Security [EN]
Fox News donosi o niepokojącym zjawisku rekrutowania nastolatków przez grupy cyberprzestępcze za pośrednictwem reklam w grach i na Discordzie. Młodzież, skuszona obietnicą łatwego zarobku i "nauczenia się hackowania", jest wykorzystywana do brudnej roboty, takiej jak pranie pieniędzy czy ataki DDoS, często nieświadoma konsekwencji prawnych. To cyniczne wykorzystanie naiwności młodych ludzi, którzy stają się "mięsem armatnim" w cyfrowej wojnie.
Źródło: Fox News [EN]
DobreProgramy ostrzegają przed kolejną falą SMS-ów informujących o rzekomej niedopłacie za energię elektryczną i groźbie odłączenia prądu. Link w wiadomości prowadzi do fałszywej bramki płatności, która wykrada dane karty lub logowania do banku. Scenariusz jest stary, ale wciąż skuteczny, zwłaszcza w okresie zimowym i przy rosnących cenach energii.
Źródło: DobreProgramy [PL]
Wizerunek prezydenta Karola Nawrockiego, został wykorzystany w sfałszowanym nagraniu wideo (deepfake), promującym platformę inwestycyjną. Oszuści użyli AI do podłożenia głosu i animacji twarzy, tworząc iluzję, że urzędnik państwowy zachęca do zakupu kryptowalut. To kolejny przykład wykorzystania wizerunku osób zaufania publicznego do oszustw finansowych, co podważa wiarygodność instytucji państwowych. Walka z taką dezinformacją staje się coraz trudniejsza, gdy fałszywki są niemal nieodróżnialne od oryginału.
Źródło: DobreProgramy [PL]
Państwa bałtyckie i nordyckie zaostrzają kurs wobec rosyjskiej wojny hybrydowej. Estonia deportuje prorosyjskich aktywistów uznanych za zagrożenie dla bezpieczeństwa narodowego, a Finlandia przygotowuje nowe, surowe przepisy ułatwiające walkę z zagraniczną agenturą wpływu. Działania te są odpowiedzią na nasilające się kampanie dezinformacyjne i próby destabilizacji regionu przez Kreml. To dowód na to, że demokracje przestają być bezbronne i zaczynają aktywnie zwalczać wrogą propagandę.
Źródło: CyberDefence24 [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.