Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Zaledwie 48 godzin po Patch Tuesday dla maja 2026 Microsoft ujawnił nową krytyczną podatność zero-day: CVE-2026-42897 (CVSS 8.1) w serwerze Exchange dotyczy modułu Outlook Web Access i jest aktywnie wykorzystywana przez atakujących. Luka wynika z braku sanityzacji danych wejściowych w OWA (cross-site scripting) — atakujący wysyła specjalnie spreparowany e-mail, który po otwarciu w przeglądarce ofiary uruchamia dowolny JavaScript w kontekście jej sesji. Dotyczy wyłącznie instalacji on-premises (Exchange 2016, 2019, Subscription Edition) — Exchange Online nie jest narażony. Stała łatka nie jest jeszcze dostępna; tymczasowe zabezpieczenie wdraża Exchange Emergency Mitigation Service (EEMS), który jest domyślnie włączony — administratorzy powinni upewnić się, że EEMS działa i wyświetla status "Applied". Sekurak przetłumaczył techniczne szczegóły na język polski.
Źródło: SecurityWeek [EN], BleepingComputer [EN], Sekurak [PL]
Sejm RP uchwalił rządowy projekt ustawy implementujący unijne rozporządzenie MiCA (Markets in Crypto-Assets) do polskiego porządku prawnego. Ustawa nakłada na giełdy kryptowalutowe i inne dostawcy usług kryptoaktywów obowiązek rejestracji i spełnienia wymogów compliance — w tym dotyczących przeciwdziałania praniu pieniędzy, wymogów kapitałowych i transparentności. Termin na dostosowanie się do nowych przepisów wynosi kilka miesięcy. Dla branży kryptowalutowej w Polsce to przełomowa zmiana — po raz pierwszy sektor zyska jasne ramy regulacyjne, co jednocześnie wyeliminuje szarą strefę operatorów. Kontekst: afera Zondacrypto, o której pisaliśmy wcześniej, z pewnością przyspieszyła tempo prac legislacyjnych.
Źródło: CyberDefence24 [PL]
OpenAI oficjalnie potwierdziło, że dwóch jego pracowników-deweloperów padło ofiarą ataku supply chain przez podmienioną bibliotekę TanStack w rejestrze npm. Złośliwa wersja paczki była dostępna przez kilka godzin i zawierała kod wykradający zmienne środowiskowe, sekrety CI/CD i tokeny uwierzytelniające z maszyn deweloperskich. OpenAI szybko zareagowało i zresetowało dotknięte poświadczenia — nie stwierdzono dostępu do modeli, danych treningowych ani danych klientów. Atak jest powiązany z kampanią grupy TeamPCP, odpowiedzialnej za wcześniejsze włamania na Checkmarx, Bitwarden CLI i paczki npm TanStack/Mistral. To wyraźny sygnał: nawet firmy technologiczne pierwszego rzutu są podatne na ataki supply chain.
Źródło: The Register [EN], SecurityWeek [EN], Sekurak [PL]
Kolejna polska placówka medyczna informuje o naruszeniu bezpieczeństwa: prywatna klinika medyczna zgłosiła nieautoryzowany dostęp do firmowej skrzynki e-mail, przez co mogły wyciec dane osobowe i medyczne pacjentów. Klinika powiadomiła Urząd Ochrony Danych Osobowych i wdrożyła środki zaradcze. Dane medyczne — diagnozy, wyniki badań, historia leczenia — są wyjątkowo wrażliwą kategorią, a ich ujawnienie może nieść dla pacjentów poważne konsekwencje (dyskryminacja ubezpieczeniowa, szantaż, wyłudzenia). To kolejny po Optimed incydent polskiej placówki medycznej w ciągu dwóch tygodni. Sektor ochrony zdrowia jest systematycznie niedoinwestowany pod kątem bezpieczeństwa IT.
Źródło: CyberDefence24 [PL]
Drugi dzień zawodów Pwn2Own Berlin 2026 przyniósł kolejną falę demonstracji podatności zero-day: badacze bezpieczeństwa pomyślnie zhackowali Microsoft Exchange Server (niezależnie od wcześniej ujawnionego CVE-2026-42897), Red Hat Enterprise Linux oraz kolejne komponenty Windows 11. Łączna pula nagród po dwóch dniach przekroczyła 600 000 dolarów. Wszystkie zademonstrowane podatności są zgłaszane producentom — mają oni 90 dni na wydanie łatek. Pwn2Own działa jako swoisty "barometr bezpieczeństwa": skumulowanie sukcesów hakerów na tak wielu platformach jednocześnie sygnalizuje intensywny sezon łatania w nadchodzących tygodniach.
Źródło: BleepingComputer [EN]
Biblioteka node-ipc — szeroko używana w ekosystemie JavaScript/Node.js do komunikacji między procesami — została skompromitowana, a złośliwa wersja przez pewien czas dystrybuowała kod wykradający dane uwierzytelniające. Biblioteka jest zależnością dziesiątek tysięcy projektów i aplikacji webowych. Wiele systemów automatycznej aktualizacji zależności mogło nieświadomie pobrać złośliwą wersję. Deweloperzy korzystający z node-ipc powinni sprawdzić wersję zainstalowaną w swoich projektach i zweryfikować integralność środowisk. To kolejny atak na ekosystem npm — po TanStack, Mistral i Axios z ostatnich tygodni.
Źródło: BleepingComputer [EN]
Sekurak opisuje "Vibe Chaos" — termin ukuty przez badacza bezpieczeństwa, który zgłosił szereg podatności do platformy Lovable, jednego z popularnych narzędzi "vibe coding" umożliwiających tworzenie aplikacji webowych bez znajomości programowania, wyłącznie przez dialog z AI. Znalezione luki pozwalały m.in. na podejrzenie konfiguracji i sekretów aplikacji innych użytkowników. To istotna przestroga: platformy AI-assisted development obniżają próg tworzenia aplikacji, ale jednocześnie mogą tworzyć aplikacje z błędami bezpieczeństwa, których twórcy nie są w stanie zidentyfikować — bo nie rozumieją kodu. Bezpieczeństwo "vibe coded" aplikacji to rosnący problem branży.
Źródło: Sekurak [PL]
Security Affairs informuje o ujawnieniu przez badaczy dwóch nowych podatności zero-day w systemie Windows, nazwanym YellowKey i GreenPlasma. Obie umożliwiają różne formy eskalacji uprawnień lub ominięcia mechanizmów ochronnych. Tygodnie maj-czerwiec 2026 stają się rekordowo aktywne pod kątem ujawniania podatności w Windows — po BitLocker zero-day i luce Patch Tuesday mamy kolejne przypadki. Dla administratorów systemów: śledzenie kanałów CISA KEV i Microsoft MSRC jest w tym okresie absolutnym obowiązkiem, bo okno od ujawnienia do eksploitacji znacząco się skróciło.
Źródło: Security Affairs [EN]
CyberDefence24 ostrzega przed nową kampanią przestępczą, w której sprawcy podszywają się pod ukraińskie służby specjalne lub policję i kontaktują się z obywatelami (głównie w Polsce) pod różnymi pretekstami — rzekomym zamieszaniem ich w przestępstwa lub możliwością odzyskania skradzionych środków. Technika jest zbliżona do klasycznego vishingu "na policjanta" lub "na prokuratora", ale wzbogacona o ukraiński kontekst, który może dezorientować ofiary. Pamiętaj: żadna służba — polska ani ukraińska — nie żąda przez telefon przelewów ani danych kart.
Źródło: CyberDefence24 [PL]
CERT Polska ostrzega przed kampanią phishingową wymierzoną w firmy: przestępcy wysyłają e-maile z pozornie profesjonalną prośbą o wycenę produktów lub usług, zawierające załącznik "specyfikacja zamówienia". Po otwarciu dokumentu instalowane jest złośliwe oprogramowanie dające atakującym zdalny dostęp do komputera (Remote Access Trojan). Kampania celuje w księgowych, handlowców i pracowników obsługi klienta — osoby, które regularnie otrzymują prawdziwe zapytania ofertowe i mogą nie podejrzewać zagrożenia. Ważne pytanie przed otwarciem każdego załącznika: czy znam tego nadawcę i czy zamawiałem kontakt?
Źródło: CERT Polska [PL]
Benchmark.pl opisuje raport wskazujący, że rosyjskie służby wywiadowcze i grupy wpływu aktywnie wykorzystują ChatGPT i inne komercyjne modele językowe do tworzenia materiałów dezinformacyjnych, generowania propagandowych treści i automatyzacji kampanii wpływu. Użycie komercyjnego AI obniża koszty i zwiększa skalę operacji — setki tysiąca unikalnych, wiarygodnie brzmiących postów i komentarzy można wygenerować automatycznie. To odwrotność założeń twórców modeli językowych, którzy wdrożyli zabezpieczenia przed tworzeniem szkodliwych treści — praktyka pokazuje, że omijanie tych zabezpieczeń jest możliwe przy odpowiednim sprytnym promptowaniu.
Źródło: Benchmark.pl [PL]
CyberScoop analizuje, jak pojawienie się narzędzi takich jak Mythos (Anthropic) i Daybreak (OpenAI) — modeli AI do ofensywnego security research — zmienia kalkulacje strategiczne Departamentu Obrony USA. Zdolność AI do samodzielnego znajdowania i eksploitowania podatności przekształca cyberwojnę z dyscypliny wymagającej wysoko wykwalifikowanych specjalistów w potencjalnie skalowalną operację. Pentagonowi zależy, by zachodnie służby miały dostęp do takich narzędzi wcześniej niż przeciwnicy — stąd kontrakty z firmami technologicznymi opisywane w poprzednich wydaniach. Dla ekspertów ds. bezpieczeństwa to sygnał: era, gdy ludzki haker był niezastąpiony, dobiega końca.
Źródło: CyberScoop [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 15 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.