Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CISA opublikowała oficjalny alert wzywający organizacje do natychmiastowego hardeningu urządzeń Fortinet w związku z wczorajszym wyciekiem FortiBleed (poświadczenia 73 000-75 000 firewalli FortiGate). Zalecenia obejmują: rotację wszystkich poświadczeń administracyjnych, wymuszenie MFA na wszystkich kontach administratorskich, przegląd logów dostępu wstecz oraz segmentację sieci ograniczającą skutki potencjalnego włamania. CISA podkreśla, że sama zmiana hasła może być niewystarczająca, jeśli atakujący już ustanowili trwały dostęp przez skradzione certyfikaty lub klucze sesyjne. To jeden z najpoważniejszych alertów infrastrukturalnych CISA w 2026 roku.
Źródło: CISA [EN], Help Net Security [EN]
BleepingComputer, Hackread i CyberScoop opisują kolejną odsłonę Operation Endgame — wielonarodowej operacji organów ścigania wymierzonej w infrastrukturę cyberprzestępczą: tym razem zlikwidowano SocGholish, malware dystrybuowany przez fałszywe komunikaty "aktualizacji przeglądarki" na niemal 15 000 zainfekowanych stron internetowych. SocGholish jest powiązany z grupą EvilCorp i służył jako pierwszy etap infekcji prowadzący do ransomware. Operacja przejęła serwery C2 i zdezaktywowała mechanizm dystrybucji. To kolejny dowód skuteczności skoordynowanych, międzynarodowych działań przeciw infrastrukturze przestępczej.
Źródło: BleepingComputer [EN], CyberScoop [EN], Help Net Security [EN]
Urząd Ochrony Danych Osobowych wydał ostrzeżenie przed niepokojącym trendem: atakujący coraz częściej omijają uwierzytelnianie dwuetapowe oparte na kodach SMS przez kradzież tokenów sesyjnych (session hijacking) — zamiast przechwytywać sam kod, kradną już zalogowaną sesję użytkownika przez techniki AiTM (adversary-in-the-middle) lub złośliwe rozszerzenia przeglądarki. UODO wprost wskazuje: same kody SMS są niewystarczającą metodą zabezpieczenia w 2026 roku. Organ rekomenduje passkeys i sprzętowe klucze U2F jako znacznie odporniejsze na te techniki ataku.
Źródło: CyberDefence24 [PL]
BleepingComputer informuje: Nintendo potwierdziło, że dane zostały skradzione w cyberataku na podmiot powiązany z WebMD, świadczący usługi dla firmy. Choć Nintendo nie jest bezpośrednim celem ataku, dane pracowników lub klientów przekazane do tego dostawcy usług mogły zostać naruszone. To kolejny przykład ryzyka trzeciej strony (third-party risk): nawet najlepiej zabezpieczona firma może paść ofiarą wycieku przez słabsze ogniwo w łańcuchu dostawców.
Źródło: BleepingComputer [EN]
BleepingComputer i ESET (przez Help Net Security) opisują zaawansowaną taktykę grupy ransomware "The Gentlemen" (profilowanej wcześniej przez Krebsa): zamiast jednego narzędzia do wyłączania oprogramowania antywirusowego, grupa stosuje kilka różnych "EDR killerów" jednocześnie, dostosowanych do konkretnych produktów bezpieczeństwa zainstalowanych u ofiary. Takie wielowarstwowe podejście znacząco zwiększa skuteczność ataku — jeśli jedno narzędzie nie zadziała na danym EDR, atakujący mają zapasowe rozwiązania. To pokazuje rosnący poziom profesjonalizacji operacyjnej grup ransomware.
Źródło: BleepingComputer [EN], Help Net Security [EN]
BleepingComputer opisuje naruszenie bezpieczeństwa w Klue — platformie do competitive intelligence — powiązane z szerszą kampanią ICARUS celującą w integracje OAuth z Salesforce. Atakujący wykorzystali skompromitowany token OAuth Klue do uzyskania dostępu do instancji Salesforce klientów korzystających z tej integracji. To kolejny przykład ryzyka łańcucha integracji aplikacji trzecich: każda autoryzowana aplikacja OAuth podłączona do Salesforce lub innej platformy CRM jest potencjalnym wektorem ataku.
Źródło: BleepingComputer [EN]
Kapitan Hack opisuje szczegółową analizę grupy Velvet Ant i powiązanej z nią Operation Highland: wieloletnia, cierpliwa kampania szpiegowska wymierzona w infrastrukturę krytyczną, wykorzystująca przestarzałe urządzenia sieciowe jako trwałe punkty dostępu. Artykuł śledzi ewolucję taktyk grupy od pierwszych wykryć po najnowsze techniki unikania detekcji. Velvet Ant jest przykładem modelowej, długoterminowej operacji APT: cierpliwość, minimalizm w działaniu i wyjątkowa dbałość o nieujawnianie obecności przez lata.
Źródło: Kapitan Hack [PL]
Sekurak relacjonuje decyzję brytyjskiego regulatora ochrony danych (ICO): organizacja, która nie wykryła naruszenia bezpieczeństwa przez ponad dwa lata — mimo że dane były aktywnie eksfiltrowane — otrzymała karę w wysokości blisko miliona funtów. ICO podkreśla w uzasadnieniu, że brak wykrycia incydentu przez tak długi czas sam w sobie świadczy o rażących zaniedbaniach w monitoringu bezpieczeństwa, niezależnie od przyczyny pierwotnego włamania. To ważny precedens: kara nie tylko za sam wyciek, ale za brak zdolności do jego wykrycia.
Źródło: Sekurak [PL]
CERT Orange Polska i Benchmark.pl ostrzegają przed nową, podstępną kampanią: fałszywe SMS-y podszywające się pod InPost informują o "problemie z przesyłką" i nakłaniają do kliknięcia linku — który prowadzi do procesu przejęcia konta WhatsApp ofiary przez wyłudzenie kodu weryfikacyjnego. Po przejęciu konta WhatsApp atakujący rozsyła wiadomości do wszystkich kontaktów ofiary, prosząc o "pilną pożyczkę" lub rozprzestrzeniając dalej kampanię. Nigdy nie podawaj kodu weryfikacyjnego WhatsApp nikomu — nawet jeśli wiadomość wygląda jak od kuriera.
Źródło: Dobreprogramy [PL], Benchmark.pl [PL]
CyberDefence24 relacjonuje skuteczną operację Centralnego Biura Zwalczania Cyberprzestępczości: rozbito siatkę odpowiedzialną za prowadzenie dziesiątek fałszywych sklepów internetowych, które okradły setki osób w całej Polsce. Sklepy oferowały atrakcyjnie wycenione produkty — elektronikę, odzież markową, sprzęt sportowy — zbierały płatności, lecz nigdy nie wysyłały towaru. CBZC zatrzymało kilku organizatorów procederu i zabezpieczyło infrastrukturę techniczną używaną do tworzenia kolejnych fałszywych witryn.
Źródło: CyberDefence24 [PL]
BleepingComputer opisuje nowego robaka rozprzestrzeniającego się przez nośniki USB: malware tworzy złośliwe pliki skrótów (.lnk) imitujące prawdziwe foldery na zainfekowanych pendrive'ach. Po podłączeniu nośnika do nowego komputera i kliknięciu "folderu" uruchamia się infostealer kradnący portfele kryptowalut i dane logowania, a robak kopiuje się na każdy kolejny podłączony nośnik USB. Klasyczna technika z lat 2000 (autorun.inf) wraca w nowej, bardziej wyrafinowanej formie.
Źródło: BleepingComputer [EN]
Tech.wp.pl opisuje operację, w której polskie służby specjalne uzyskały dostęp do systemu informatycznego powiązanego z rosyjską infrastrukturą wywiadowczą, zdobywając cenne dane operacyjne. Szczegóły operacji pozostają niejawne, lecz fakt jej upublicznienia (w ograniczonym zakresie) sugeruje, że Polska chce zademonstrować zdolności ofensywne w cyberprzestrzeni, nie tylko defensywne. To rzadki przypadek, gdy polskie służby przyznają się do działań wykraczających poza czystą obronę.
Źródło: Tech.wp.pl [PL]
CyberDefence24 informuje: Ukraina formalnie dołączyła do unijnej rezerwy cyberbezpieczeństwa (EU Cybersecurity Reserve) — mechanizmu szybkiego reagowania UE na poważne incydenty cybernetyczne, łączącego zasoby ekspertów z sektora prywatnego i publicznego krajów członkowskich. Dołączenie Ukrainy, mimo że formalnie nie jest członkiem UE, podkreśla wyjątkowy status tego kraju w europejskiej architekturze bezpieczeństwa cybernetycznego po latach wojny z rosyjską agresją cybernetyczną. Ukraińscy eksperci wniosą unikalne doświadczenie bojowe zdobyte w realnym konflikcie.
Źródło: CyberDefence24 [PL], Help Net Security [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 18 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
