🔐 Cyber Security Daily News | 09.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
ShinyHunters szantażuje 8 800 szkół i uczelni — defacement Canvasa i ultimatum do 12 maja
Dramatyczna eskalacja incydentu z platformą Canvas LMS (Instructure): ShinyHunters, którzy wcześniej ukradli 3,65 TB danych powiązanych z 275 milionami użytkowników z 8 809 instytucji edukacyjnych na całym świecie, zaatakowali Instructure po raz drugi — tym razem modyfikując strony logowania do Canvasa dla setek uczelni wyższych i szkół. Na stronach logowania pojawił się komunikat informujący, że szkoły mają czas do 12 maja, by skontaktować się z grupą i wynegocjować okup, albo skradzione dane trafią do sieci. Wśród poszkodowanych uczelni wymieniane są Virginia Tech, Harvard, University of Oklahoma i setki innych instytucji z USA, Wielkiej Brytanii, Australii i Holandii — łącznie 44 niderlandzkie uczelnie potwierdziły disrupcję. Atak nastąpił w najgorszym możliwym momencie: w tygodniu egzaminów końcowych. Defacementy usunięto po około 30 minutach, ale dane i tak są w rękach przestępców. Szkoły apelują do studentów o wzmożoną czujność wobec phishingu.
Źródło: BleepingComputer [EN], Hackread [EN], KrebsOnSecurity [EN]
Palo Alto PAN-OS zero-day — potwierdzono: za atakami stoją chińskie służby wywiadowcze
SecurityWeek i Palo Alto Networks potwierdziły, że kampania exploitująca lukę zero-day w systemie PAN-OS nosi wszelkie cechy operacji chińskich służb wywiadowczych. Ofiara wektora ataku jest szczególnie niepokojąca: firewalle i bramy VPN Palo Alto Networks są stosowane jako pierwsza linia obrony w sieciach rządowych, wojskowych i infrastruktury krytycznej. Przejęcie urządzenia granicznego daje atakującemu możliwość niepostrzeżonej inwigilacji całego ruchu sieciowego organizacji. Chińskie grupy APT od lat celują w urządzenia brzegowe — podatności w firmwarze routerów, firewalli i bram VPN to jeden z ich ulubionych wektorów dostępu do sieci zachodnich instytucji.
Źródło: SecurityWeek [EN]
Tom Parker nowym dyrektorem CISA — pierwsze nominacje za kadencji Trumpa
Tom Parker, weteran branży cyberbezpieczeństwa i były pracownik NSA, został mianowany nowym dyrektorem Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Jego nominacja wieńczy miesięczny wakat na tym stanowisku po rezygnacji poprzedniego szefa. CISA pełni centralną rolę w obronie cybernetycznej USA — koordynuje odpowiedź na incydenty, prowadzi katalog exploitowanych podatności i wydaje alerty dla sektorów krytycznych. Obserwatorzy śledzić będą, czy Parker utrzyma tryb publikowania alertów i ostrzeżeń, który w ostatnich miesiącach był krytykowany przez administrację za "przeciąganie" komunikatów.
Źródło: Dark Reading [EN]
🚨 INCYDENTY
Zara — wyciek danych 197 000 klientów przez naruszenie u dostawcy
Spółka Inditex potwierdziła naruszenie danych osobowych 197 000 klientów sieci Zara, będące efektem incydentu u zewnętrznego dostawcy. Skradzione dane obejmują imiona i nazwiska, adresy e-mail, numery telefonów i adresy dostawy — bez danych kart płatniczych. Odpowiedzialność za włamanie przypisywana jest grupie ShinyHunters, która jest w trakcie fali ataków na wiele organizacji jednocześnie. Klienci Zara powinni być wyczuleni na wyrafinowane próby phishingu z danymi personalizowanymi.
Źródło: BleepingComputer [EN], Security Affairs [EN]
Dirty Frag — nowy zero-day w jądrze Linux z gotowym exploitem daje prawa roota
Opublikowano nową lukę zero-day w jądrze Linux, nazwaną Dirty Frag (CVE-2026-XXXXX), która pozwala lokalnemu użytkownikowi na eskalację uprawnień do poziomu roota — i co niepokojące, PoC (dowód konceptu) jest już publicznie dostępny. Luka dotyczy mechanizmu zarządzania pamięcią i jest exploitowalna na popularnych dystrybucjach. To już kolejna lokalna luka w jądrze Linuksa ujawniona w ciągu kilku tygodni — po CopyFail (CVE-2026-31431) — co wskazuje na intensywne badania nad tym obszarem bezpieczeństwa, zarówno przez badaczy, jak i atakujących. Administratorzy powinni śledzić komunikaty dystrybucji i instalować łatki niezwłocznie po ich wydaniu.
Źródło: BleepingComputer [EN], AVLab [PL]
💡 CIEKAWOSTKI
ClaudeBleed — luka w rozszerzeniu Claude dla Chrome pozwala przejąć całego agenta AI
Badacze zidentyfikowali krytyczną podatność w oficjalnym rozszerzeniu Claude AI dla przeglądarki Chrome, nazwaną "ClaudeBleed". Luka pozwala złośliwej stronie internetowej lub wtyczce przejąć sesję Claude'a przez wstrzyknięcie ukrytych poleceń (prompt injection) — bez wiedzy użytkownika. Przejęty agent AI może następnie kraść dane z innych otwartych kart, wykonywać polecenia w imieniu użytkownika i wyciągać tokeny OAuth. To nowa klasa zagrożeń specyficznych dla agentów AI: model językowy połączony z przeglądarką i narzędziami staje się punktem wejścia, który atakujący mogą manipulować przez dane zewnętrzne. Anthropic pracuje nad łatką; tymczasem zaleca się ostrożność przy korzystaniu z rozszerzeń AI na stronach o nieznanym zaufaniu.
Źródło: SecurityWeek [EN], CyberScoop [EN], Hackread [EN]
Meta robi zwrot — Instagram Direct Messages tracą szyfrowanie end-to-end
The Register informuje o zaskakującej decyzji Meta: Instagram Direct Messages, które rok temu chwaliły się wdrożeniem szyfrowania end-to-end, wracają do komunikacji plaintext — przynajmniej dla części użytkowników. Meta tłumaczy zmianę potrzebą "poprawy doświadczeń moderacji treści" i spełnieniem wymagań regulatorów w niektórych jurysdykcjach. To poważny krok wstecz dla prywatności użytkowników — wiadomości dostępne w formie niezaszyfrowanej mogą być odczytywane przez Meta, a w przypadku naruszenia danych — przez atakujących. Decyzja wpisuje się w narastający trend legislacyjny wymuszający osłabienie szyfrowania w imię "bezpieczeństwa publicznego".
Źródło: The Register [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Masowa kampania SMS podszywa się pod mObywatela — fałszywy "mandat" pojawia się w tym samym wątku co prawdziwe SMSy rządowe
Sekurak, CERT Polska, Niebezpiecznik, Instalki i CyberDefence24 jednocześnie ostrzegają przed wyjątkowo sprytną kampanią phishingową: przestępcy wysyłają SMS-y z nazwą nadawcy "mObywatel" — technologia SMS Spoofing pozwala sfałszować dosłownie dowolną nazwę. Efekt jest przerażający: telefon ofiaryдобавляет fałszywego SMS-a do tego samego wątku konwersacji, co poprzednie, autentyczne wiadomości z prawdziwej aplikacji rządowej — uwiarygodniając go maksymalnie. Wiadomość informuje o "niezapłaconym mandacie za przekroczenie prędkości" i zawiera link do strony wyłudzającej dane płatnicze. Kluczowa zasada: mObywatel nigdy nie wysyła SMS-ów z linkami do płatności — wszelkie mandaty należy weryfikować wyłącznie w aplikacji mObywatel lub przez e-MANDAT.
Źródło: Sekurak [PL], Niebezpiecznik [PL], CERT Polska [PL], Instalki.pl [PL], CyberDefence24 [PL]
FEMITBOT — przestępcy ukrywają malware w Mini Apps Telegrama
Badacze CTM360 opisują kampanię FEMITBOT: złośliwa infrastruktura osadzona w Telegram Mini Apps — lekkich aplikacjach webowych wbudowanych w komunikator — serwuje ofiarom zarówno złośliwe oprogramowanie, jak i wyłudza dane kart płatniczych. Mini Apps wyglądają jak portfele kryptowalutowe, narzędzia biznesowe czy asystenci zakupów. Telegram cieszy się rosnącą popularnością i zaufaniem użytkowników — przestępcy to wykorzystują, bo wiele osób zakłada, że aplikacje wewnątrz Telegrama są bezpieczne. Zasada jest prosta: żadna Mini App w Telegramie nie powinna prosić o dane karty płatniczej ani uprawnienia do zasobów telefonu.
Źródło: Sekurak [PL]
TCLBanker — trojan bankowy rozsyła się sam przez WhatsApp i Outlook, atakując Europę
Badacze opisują nowego trojana bankowego TCLBanker, który wyróżnia się niezwykłą cechą: po infekcji automatycznie rozsyła siebie przez kontakty WhatsApp i Outlook ofiary — tworząc efekt kuli śnieżnej infekcji. Malware celuje w aplikacje bankowe instalowane na smartfonach, przechwytując dane logowania i kody SMS 2FA. Kampania koncentruje się na Europie, ze szczególnym naciskiem na Niemcy, Polskę i kraje Europy Południowej. TCLBanker korzysta z dostępności systemów bankowości mobilnej do kradzieży środków w czasie rzeczywistym. Banki i telekomy obserwują wzrost fałszywych transakcji powiązanych z tą kampanią.
Źródło: BleepingComputer [EN], The Hacker News [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
TikTok ujawnia lokalizacje ukraińskich jednostek wojskowych — poważne zagrożenie operacyjne
CyberDefence24 informuje o niebezpiecznym incydencie: na TikToku pojawiły się filmy i geotagi ujawniające lokalizację i przemieszczenia ukraińskich oddziałów wojskowych. Materiały były nagrywane i publikowane przez samych żołnierzy lub cywilów w pobliżu jednostek — bez świadomości zagrożenia operacyjnego. W warunkach aktywnego konfliktu zbrojnego takie dane wywiadowcze mogą być użyte do precyzyjnego namierzania celów artyleryjskich lub rakietowych. Ukraińskie służby wielokrotnie ostrzegały żołnierzy przed używaniem mediów społecznościowych w pobliżu linii frontu — incydent pokazuje, że edukacja i dyscyplina OPSEC (bezpieczeństwo operacyjne) pozostają poważnym wyzwaniem.
Źródło: CyberDefence24 [PL]
Strona juwenaliów zainfekowana ClickFix — złośliwy kod na popularnej polskiej witrynie studenckiej
Sekurak opisuje intrygujący incydent: strona rzeszowskiejuwenalia.pl — promująca jedno z popularniejszych polskich studenckich wydarzeń kulturalnych — została skompromitowana i zainfekowana złośliwym skryptem ClickFix. Niczego niepodejrzewający student wchodzący na stronę w poszukiwaniu biletów widział fałszywy komunikat CAPTCHA, po czym instrukcja prosiła o wciśnięcie Windows+R, Ctrl+V i Enter — co uruchamiało automatycznie skopiowane do schowka złośliwe polecenie PowerShell. To dobrze znana i coraz powszechniejsza technika "ClickFix", uderzająca teraz w polskie witryny lokalnych wydarzeń. Czytelnik wykrył atak, zanim dotknął większej liczby osób — przykład, jak czujność użytkowników ratuje sytuację.
Źródło: Sekurak [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 8 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.