Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
Vercel — platforma hostingowa używana przez miliony deweloperów na całym świecie do wdrażania aplikacji webowych — opublikowała oficjalny biuletyn potwierdzający nieuprawniony dostęp do niektórych wewnętrznych systemów. Firma angażuje zewnętrznych ekspertów ds. reagowania na incydenty i poinformowała organy ścigania. BleepingComputer informuje, że hakerzy na forach dark web twierdzą, że mają na sprzedaż skradzione dane Vercel i jej klientów. Platforma zaleca wszystkim użytkownikom natychmiastowy przegląd zmiennych środowiskowych (szczególnie kluczy API i sekretów) i skorzystanie z funkcji „sensitive environment variables". Naruszenie jest szczególnie poważne, bo przez Vercel deployowane są aplikacje produkcyjne setek tysięcy firm — a skradzione klucze środowiskowe mogą oznaczać dostęp do zewnętrznych usług i baz danych klientów.
Źródło: Vercel [EN] | BleepingComputer [EN]
SecurityBezTabu publikuje szczegółową analizę zbiorczą trzech podatności zero-day w Windows Defender: BlueHammer i RedSun umożliwiają lokalną eskalację uprawnień, a UnDefend zakłóca aktualizację sygnatur bezpieczeństwa — de facto osłabiając ochronę endpointu bez wiedzy użytkownika. Z trzech podatności tylko BlueHammer (CVE-2026-33825) doczekał się pełnej poprawki; dwie pozostałe wciąż czekają na kompletną łatkę w chwili publikacji analizy. Kombinacja all-three jest szczególnie groźna: atakujący najpierw może wyłączyć skuteczność Defendera przez UnDefend, następnie eskalować uprawnienia przez RedSun lub BlueHammer. Dla administratorów: monitoring zdarzeń aktualizacji sygnatur i alertów eskalacji uprawnień powinien być priorytetem do czasu pełnego patchowania.
Źródło: SecurityBezTabu [PL]
SecurityWeek opisuje zmiany na rynku Phishing-as-a-Service: Tycoon 2FA — przez ostatni rok dominujący zestaw phishingowy do omijania uwierzytelniania dwuskładnikowego — traci udział w rynku na rzecz nowych, agresywniejszych konkurentów. Tycoon 2FA zasłynął skutecznym obchodzeniem Microsoft 365 MFA przez technikę Adversary-in-the-Middle. Nowe platformy oferują niższe ceny, lepsze wsparcie i częstsze aktualizacje omijające nowe zabezpieczenia. To niepokojący sygnał: rynek phishingowy dojrzewa i coraz bardziej przypomina legalny rynek software'owy z roadmapami produktowymi, obsługą klienta i release notes.
Źródło: SecurityWeek [EN]
Dark Reading informuje o zbliżającym się terminie wygaśnięcia oryginalnych certyfikatów Secure Boot wydanych przez Microsoft, które stanowią fundament zaufania dla procesu bootowania setek milionów komputerów z Windows. Jeśli organizacje nie przeprowadzą odpowiednich aktualizacji, systemy mogą odmówić uruchomienia lub stać się podatne na ataki, które ominą weryfikację łańcucha bootowania. Problem dotyczy szczególnie starszego sprzętu i systemów korporacyjnych, które nie przeszły rutynowej aktualizacji oprogramowania układowego. Microsoft wydał odpowiednie wytyczne i aktualizacje — administratorzy powinni pilnie sprawdzić stan certyfikatów Secure Boot w zarządzanych środowiskach.
Źródło: Dark Reading [EN]
SecurityBezTabu i CySecurity News opisują dramatyczny koniec giełdy kryptowalutowej Grinex, zarejestrowanej w Kirgistanie i objętej sankcjami USA i Wielkiej Brytanii. Po ataku skutkującym kradzieżą 13,74 mln USD platforma zawiesiła działalność. Skradzione środki zostały szybko przetransferowane przez sieci TRON i Ethereum, a następnie zamienione na aktywa trudniejsze do zablokowania. Grinex był wskazywany przez analityków blockchain jako następca Garantex — wcześniejszej giełdy powiązanej z praniem pieniędzy, ransomware i rynkami darknet. Po ujawnieniu incydentu Grinex obwiniał zachodnie służby wywiadowcze — co eksperci oceniają jako klasyczny przykład odwracania uwagi od własnych słabości infrastrukturalnych.
Źródło: SecurityBezTabu [PL] | CySecurity News [EN]
Security Affairs opisuje nową technikę stosowaną przez zaawansowane grupy hakerskie: tworzenie ukrytych maszyn wirtualnych QEMU (emulatorów) bezpośrednio wewnątrz skompromitowanych środowisk korporacyjnych. QEMU jest legalnym oprogramowaniem do wirtualizacji, dlatego jego obecność w sieci nie wzbudza podejrzeń systemów bezpieczeństwa. Atakujący uruchamiają w tych ukrytych VM pełne środowiska do eksfiltracji danych, lateral movement i dalszej dystrybucji malware — a VM jest de facto niewidoczna dla EDR działającego na hoście. To technika, którą na skali stosowania przemysłowego zaobserwowano stosunkowo niedawno i która wymaga głębszego monitorowania na poziomie hypervisora.
Źródło: Security Affairs [EN]
CySecurity News opisuje nową falę ataków na środowiska Snowflake powiązaną z kompromitacją narzędzia integracji SaaS używanego przez wiele firm jako łącznik między aplikacjami biznesowymi a hurtownią danych. Atakujący poprzez jedno skompromitowane narzędzie integracyjne uzyskali token dostępu do Snowflake i z kolei do danych wielu klientów tego samego dostawcy SaaS. To dokładnie ten sam wzorzec co atak na Snowflake przez Snowflake przez Ticketmaster/Santander w 2024 roku — tyle że tym razem punktem wejścia jest zewnętrzne narzędzie pipeline. Każda organizacja korzystająca z narzędzi integracji SaaS powinna pilnie skontrolować, jakie uprawnienia mają tokeny dostępu tych narzędzi do produkcyjnych hurtowni danych.
Źródło: CySecurity News [EN]
SecurityBezTabu i BleepingComputer opisują krytyczną podatność w protobuf.js — popularnej implementacji Protocol Buffers dla JavaScript, używanej szeroko w aplikacjach Node.js do serializacji danych. Błąd wynika z niebezpiecznego użycia konstruktora Function() przy dynamicznym generowaniu kodu na podstawie schematów protobuf — odpowiednio spreparowany schemat może wstrzyknąć i uruchomić dowolny kod JavaScript w kontekście procesu aplikacji. Podatność dotyczy wersji 8.0.0 i 7.5.4 (i starszych), naprawiono ją w wersjach 8.0.1 i 7.5.5. Dostępny jest publiczny PoC — co bardzo obniża próg eksploatacji. Wszystkie projekty używające protobuf.js powinny natychmiast zaktualizować tę zależność.
Źródło: SecurityBezTabu [PL] | BleepingComputer [EN]
Security Affairs opisuje raport wskazujący na niepokojący trend: cyberataki na firmy logistyczne i spedycyjne coraz częściej kończą się nie tylko kradzieżą danych, ale też ułatwiają fizyczne kradzieże ładunków. Hakerzy włamują się do systemów śledzenia przesyłek, dokumentacji celnej i komunikacji między kierowcami i dyspozytorami — a następnie albo sprzedają te informacje zorganizowanym grupom przestępczym, albo przekierowują dostawy na inne adresy. Straty z kradzieży cargo w sektorze logistycznym wzrosły o kilkadziesiąt procent rok do roku, a konwergencja cyberprzestępczości i przestępczości zorganizowanej w tym sektorze jest coraz wyraźniejsza.
Źródło: Security Affairs [EN]
CySecurity News opisuje nową inicjatywę Google, która używa modeli AI do lepszego wykrywania i blokowania złośliwych reklam w Google Ads — w tym reklam phishingowych, fałszywych inwestycji i reklam prowadzących do stron instalujących malware. Google wdrożył nowe modele klasyfikacji, które analizują nie tylko treść reklamy, ale też wzorce behawioralne reklamodawców i historię domen docelowych. W 2025 roku Google zablokował ponad 5 miliardów złośliwych reklam — nowe narzędzia AI mają zwiększyć tę skuteczność, szczególnie w zakresie bardziej wyrafinowanych kampanii deepfake z wizerunkami celebrytów i polityków.
Źródło: CySecurity News [EN]
Virtual-IT ostrzega przed aktywną kampanią phishingową, w której atakujący podszywają się pod PGE (Polska Grupa Energetyczna) i rozsyłają wiadomości e-mail lub SMS informujące o rzekomej nadpłacie za energię elektryczną z prośbą o podanie danych do zwrotu. Schemat jest klasyczny: ofiarę kieruje się na fałszywą stronę przypominającą portal klienta PGE, gdzie proszono jest o podanie numeru konta bankowego lub — jeszcze gorzej — danych logowania do bankowości internetowej. Tego typu kampanie sezonowe nasilają się po końcu okresu rozliczeniowego i są szczególnie skuteczne wobec starszych użytkowników spodziewających się korekt na rachunkach. PGE nigdy nie prosi o podanie danych logowania bankowego przez e-mail lub SMS — wszelkie kwestie nadpłat rozwiązuje wyłącznie przez swoje oficjalne kanały.
Źródło: Virtual-IT [PL]
BleepingComputer opisuje nową technikę phishingu: atakujący celowo inicjują próby zmiany danych konta Apple ID (np. adresu e-mail), co wyzwala wysłanie przez Apple prawdziwego, autentycznego powiadomienia na adres ofiary. Wiadomość wychodzi z prawdziwego serwera Apple i zawiera oryginalny podpis cyfrowy — co sprawia, że przechodzi przez filtry antyspamowe i jest trudna do odróżnienia od legalnej komunikacji. Ofiara jest następnie nakłaniana do „anulowania zmiany" przez fałszywy link w towarzyszących materiałach. To wyrafinowana technika exploitowania legalnej infrastruktury powiadomień do dostarczania phishingu z autorytetem Apple.
Źródło: BleepingComputer [EN]
CySecurity News opisuje odkrycie złośliwego kodu skimmującego dane kart płatniczych ukrytego wewnątrz popularnego pluginu JavaScript używanego przez sklepy e-commerce. Skimmer działał po stronie przeglądarki klienta — przechwytując dane wpisywane w formularzach płatności i wysyłając je na serwer kontrolowany przez atakujących, zanim trafiły do prawdziwej bramki płatności. Kod był silnie zaciemniony i aktywował się tylko na stronach z formularzami płatności, unikając wykrycia podczas normalnych wizyt. Dla konsumentów: korzystanie z kart wirtualnych lub Apple/Google Pay w sklepach internetowych skutecznie eliminuje ryzyko tego rodzaju ataków.
Źródło: CySecurity News [EN]
Telepolis opisuje nowe rosyjskie przepisy prawne, które formalnie obligują podróżnych do udostępnienia funkcjonariuszom granicznym zawartości telefonu i laptopa na żądanie — odmowa grozi karą pozbawienia wolności. Przepisy uderzają zarówno w cudzoziemców wjeżdżających do Rosji, jak i w obywateli rosyjskich powracających z zagranicy. Dla dziennikarzy, dyplomatów i badaczy podróżujących do Rosji lub przez Rosję oznacza to fundamentalną zmianę — każde urządzenie z danymi zawodowymi powinno być traktowane jak potencjalnie skonfiskowane. Eksperci ds. bezpieczeństwa zalecają korzystanie z dedykowanych „czystych" urządzeń podróżnych z minimalną ilością danych i uwierzytelnianiem tokenami jednorazowymi.
Źródło: Telepolis [PL]
CyberDefence24 publikuje obszerną analizę Urszuli Jaworskiej dotyczącą współczesnego kryzysu informacyjnego: w dobie algorytmów optymalizujących pod kątem zaangażowania, fałszywe i sensacyjne treści mają strukturalną przewagę nad rzetelnymi informacjami. Autorka argumentuje, że walka z dezinformacją przez cenzurę — choć atrakcyjna dla państw i platform ze względu na niskie koszty i kontrolę — prowadzi do niebezpiecznych pułapek: legitymizuje rządowy arbitraż prawdy i napędza teorie spiskowe. Artykuł postuluje podejście oparte na edukacji medialnej, przejrzystości algorytmów i niezależnym fact-checkingu jako realistyczniej alternatywie — z przykładami z krajów skandynawskich i programów edukacyjnych UE.
Źródło: CyberDefence24 [PL]
Security Affairs opisuje odkrycie wariantu botnetu Mirai o nazwie Nexcorium, który aktywnie exploituje niezałataną podatność w popularnych rejestratorach DVR marki TBK. TBK DVR jest masowo używany w systemach telewizji przemysłowej (CCTV) w firmach, sklepach i budynkach na całym świecie — i w ogromnej większości przypadków nie jest regularnie aktualizowany. Nexcorium infekuje urządzenia i wciela je do botnetu DDoS, który następnie przeprowadza ataki na wskazane cele. To klasyczny przykład IoT jako słabego ogniwa: urządzenia z lukami są podłączone do internetu, nigdy nie dostają aktualizacji i stają się trwałą częścią infrastruktury przestępczej.
Źródło: Security Affairs [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 19 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
