🔐 Cyber Security Daily News | 03.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CERT Polska ujawnia podatności w polskiej wtyczce Szafir SDK — ryzyko wykonania złośliwego kodu
CERT Polska opublikował dwa wpisy CVE dotyczące oprogramowania Szafir — polskiej wtyczki przeglądarkowej i towarzyszącej aplikacji SzafirHost, produkowanej przez Krajową Izbę Rozliczeniową i używanej do podpisywania dokumentów kwalifikowanym podpisem elektronicznym. Pierwsza podatność (CVE-2026-26927) pozwala nieuwierzytelnionemu atakującemu stworzyć stronę internetową, która uruchomi aplikację SzafirHost z dowolnymi argumentami — w tym pobierając pliki z serwera kontrolowanego przez przestępców, bez wiedzy użytkownika. Druga (CVE-2026-26928) polega na braku weryfikacji podpisów dla plików DLL, SO i JNILIB przy aktualizacji biblioteki: atakujący może podstawić złośliwą bibliotekę, która zostanie wykonana przez aplikację. Obie podatności odkrył i zgłosił do CERT Polska Michał Leszczyński, a producent wydał już łatki — użytkownicy powinni zaktualizować Szafir SDK Web do wersji 0.0.17.4 i SzafirHost do 1.1.0.
Źródło: CERT Polska [PL]
Krytyczna podatność w Progress ShareFile umożliwia zdalny atak bez uwierzytelnienia — możliwe łączenie exploitów
BleepingComputer opisuje nowe podatności w oprogramowaniu Progress ShareFile — popularnej platformy do bezpiecznego udostępniania plików w firmach. Badacze odkryli, że kilka błędów można łączyć w łańcuch pre-auth RCE (Remote Code Execution), co oznacza, że atakujący może uzyskać pełne wykonanie kodu bez konieczności posiadania konta lub poświadczeń. Progress wydało łatki, ale historia podatności w ShareFile jest długa — platforma była już wielokrotnie atakowana przez grupy ransomware w poprzednich latach. Firmy korzystające z ShareFile powinny niezwłocznie sprawdzić wersję oprogramowania i wdrożyć dostępne aktualizacje.
Źródło: BleepingComputer [EN]
OpenSSH 10.3 wydany — poprawki bezpieczeństwa i usunięcie przestarzałych algorytmów
HelpNetSecurity informuje o wydaniu OpenSSH 10.3, nowej wersji jednego z najważniejszych narzędzi do bezpiecznej zdalnej komunikacji używanego przez dosłownie każdego administratora systemów. Wśród zmian znalazły się poprawki bezpieczeństwa, usunięcie dalszych przestarzałych i słabych algorytmów kryptograficznych oraz usprawnienia w kodzie. OpenSSH jest zainstalowany na setki milionów serwerów na całym świecie, więc każda aktualizacja wpływa na ogromną część globalnej infrastruktury. Administratorzy systemów Linux i Unix powinni zaplanować aktualizację w najbliższym oknie serwisowym.
Źródło: HelpNetSecurity [EN]
2. INCYDENTY
Publiczny BIP ujawnił dane 81 pracowników — protokół kontroli ZUS ze Strzelina dostępny przez 6 dni
CyberDefence24 opisuje kolejny przypadek niezamierzonego ujawnienia danych osobowych w Biuletynie Informacji Publicznej. Zespół Oświaty Gminnej w Strzelinie przypadkowo opublikował niezanonimizowany protokół kontroli ZUS zawierający dane 81 byłych i obecnych pracowników — imiona i nazwiska, numery PESEL, informacje o zwolnieniach lekarskich, wysokość wynagrodzenia i naliczonych składek. Plik był publicznie dostępny przez ponad 6 dni i zarejestrował 29 odsłon. Jednostka zgłosiła naruszenie do UODO w ciągu wymaganych 72 godzin i poinformowała poszkodowanych pracowników. To kolejny w ostatnich tygodniach incydent tego samego typu — UODO wielokrotnie ostrzegało, że nieprawidłowa anonimizacja dokumentów w BIP pozostaje jednym z najczęstszych naruszeń ochrony danych w polskiej administracji.
Źródło: CyberDefence24 [PL]
Stryker wznowił pełną działalność po irańskim ataku wiperowym — odbudowa trwała trzy tygodnie
CyberScoop donosi, że firma Stryker — jeden z największych na świecie producentów sprzętu medycznego i implantów — ogłosiła powrót do pełnej sprawności operacyjnej trzy tygodnie po niszczycielskim ataku wiperowym przeprowadzonym przez proimpalestyńską grupę Handala, powiązaną z irańskim rządem. Atak z 11 marca uszkodził systemy obsługi zamówień, produkcji i wysyłki firmy. Wiper (złośliwe oprogramowanie niszczące dane) jest szczególnie groźny dla firm produkcyjnych, bo wymaga odbudowy systemów od podstaw, a nie tylko odblokowania po opłaceniu okupu. Stryker podkreślił, że przez cały czas priorytetem była opieka nad pacjentami. Sprawa pokazuje, że producenci sprzętu medycznego stają się strategicznym celem dla grup działających w imieniu państw.
Źródło: CyberScoop [EN]
Hakerzy przejęli uprawnienia rady bezpieczeństwa protokołu DeFi Drift i skradli 280 mln dolarów
BleepingComputer opisuje spektakularny atak na protokół Drift — zdecentralizowaną platformę finansową (DeFi) opartą na blockchainie Solana. Atakujący zdołali skompromitować klucze do wielopodpisowego portfela Security Council, który zarządza uprawnieniami do modyfikacji protokołu, po czym skierowali fundusze na własne adresy. Łupem padło ok. 280 milionów dolarów w kryptowalutach. Atak na mechanizm zarządzania (governance attack) jest szczególnie niebezpieczny w systemach DeFi, bo zamiast przełamywać zabezpieczenia techniczne — przejmuje uprawnienia administratorów. Incydent raz jeszcze pokazuje, że zabezpieczenie kluczy kryptograficznych w protokołach DeFi jest krytycznym i niedostatecznie rozwiązanym problemem.
Źródło: BleepingComputer [EN]
3. CIEKAWOSTKI
Akira ransomware od pierwszego dostępu do zaszyfrowania danych w czasie poniżej godziny
CyberScoop opisuje nowy raport firmy Halcyon poświęcony grupie ransomware Akira, aktywnej od 2023 roku i odpowiedzialnej za zebrane 245 milionów dolarów w okupach. Kluczowe odkrycie: Akira skróciła swój cykl ataku do mniej niż czterech godzin od pierwszego dostępu do pełnego szyfrowania — a w niektórych przypadkach poniżej godziny. Osiąga to dzięki używaniu podatności zero-day, zakupowi dostępów od brokerów IAB i atakowaniu VPN-ów bez wieloskładnikowego uwierzytelnienia. Stosuje też „szyfrowanie przerywane" (intermittent encryption) — szyfrując duże pliki w małych blokach, przyspiesza działanie i zmniejsza szanse na detekcję. Co wyróżnia Akirę: wkłada ponadprzeciętny wysiłek w budowanie działających deszyfrtatorów, bo wie, że firmy chętniej płacą, gdy mają realną szansę odzyskać dane.
Źródło: CyberScoop [EN]
Europejski biznes a uzależnienie technologiczne od USA — wnioski z debaty ekspertów
OpenSecurity.pl podsumowuje marcową debatę ekspercką poświęconą ryzyku zbyt głębokiego uzależnienia polskich i europejskich firm od technologii z USA. Uczestnicy byli zgodni, że problem nie jest ideologiczny, lecz zarządczy: wiele firm nie zna odpowiedzi na pytania o to, gdzie naprawdę są ich dane, kto kontroluje klucze, jak szybko możliwa byłaby migracja do innego dostawcy i co się stanie przy nagłej zmianie polityki cenowej czy regulacyjnej po stronie dostawcy. Geopolityczna zmienność USA w 2025–2026 roku (taryfy, zmiany polityki) uświadomiła wielu CTO, że vendor lock-in na jedną jurysdykcję to ryzyko operacyjne. Rekomendacja: nie chodzi o zrywanie z technologią z USA, lecz o mapowanie zależności i etapową dywersyfikację — zwłaszcza w warstwach krytycznych: komunikacja, tożsamość, chmura i backup.
Źródło: OpenSecurity.pl [PL]
Nowy wektor cyberprzestępczości: puste domy i przechwytywanie korespondencji w atakach hybrydowych
BleepingComputer opisuje rosnący trend ataków hybrydowych, w których cyberprzestępcy łączą fizyczny i cyfrowy świat. Sprawcy identyfikują puste nieruchomości (np. domy wystawione na sprzedaż lub do wynajmu) i rejestrują te adresy w systemach pocztowych jako swoje, przechwytując następnie listy kierowane do poprzednich właścicieli — w tym dokumenty zawierające poświadczenia, kody jednorazowe i wrażliwe dane finansowe. Technika jest szczególnie groźna wobec osób starszych i mniej mobilnych, które nadal korzystają z korespondencji papierowej. To przykład jak narzędzia OSINT do analizy rynku nieruchomości mogą zostać uzbrojone w przestępcze cele.
Źródło: BleepingComputer [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
CERT Polska: nowa kampania phishingowa podszywa się pod NFZ i nieprawidłowości w rozliczeniach składek
CERT Polska ostrzega przed kampanią, w której oszuści rozsyłają wiadomości informujące o rzekomych nieprawidłowościach w rozliczeniach składek NFZ i proszące o weryfikację danych przez podany link. Strona docelowa imituje wygląd oficjalnego portalu — jej celem jest pozyskanie danych logowania, danych osobowych lub informacji finansowych. Kampania jest szczególnie skuteczna, bo temat błędów w rozliczeniach zdrowotnych brzmi wiarygodnie i może wywołać pilną potrzebę reakcji. Zasada jest prosta: NFZ i ZUS nie proszą o weryfikację danych przez linki w e-mailach ani SMS-ach. Podejrzane wiadomości warto zgłaszać do CERT Polska przez incydent.cert.pl lub aplikację mObywatel.
Źródło: CERT Polska (moje.cert.pl) [PL]
Storm infostealer dostępny jako usługa subskrypcyjna — wykrada dane z przeglądarek i portfeli kryptowalutowych
HackRead opisuje Storm — nowy infostealer oferowany w modelu MaaS (Malware as a Service), reklamowany na forach cyberprzestępczych z rozbudowanym panelem administracyjnym i modułową architekturą. Storm potrafi wykradać hasła zapisane w przeglądarkach (Chrome, Firefox, Edge), pliki cookie, tokeny sesji, portfele kryptowalutowe i dane uwierzytelniające do klientów FTP/SSH. Co wyróżnia Storm na rynku podobnych narzędzi: obsługa klienta w modelu subskrypcyjnym — za miesięczną opłatę kupujący dostaje aktualizacje i wsparcie techniczne. To kolejny przykład profesjonalizacji cyberprzestępczości, gdzie bariera wejścia dla nowych przestępców systematycznie maleje.
Źródło: HackRead [EN]
Wielkie firmy nieświadomie trenują pracowników do klikania w phishing, ostrzegając ich przed phishingiem
Niebezpiecznik zwraca uwagę na paradoks, który regularnie pojawia się w korporacyjnych programach szkoleniowych: firmy wysyłają pracownikom oficjalne ostrzeżenia przed phishingiem w formie… e-maili, które wyglądają jak phishing. Wiadomości z podejrzanymi linkami, prośbami o zalogowanie się na specjalnej platformie i nagłymi komunikatami o „zagrożeniu konta" — nawet gdy są autentyczne — uczą pracowników, że reagowanie na takie wiadomości jest poprawnym zachowaniem. Efekt odwrotny do zamierzonego: pracownicy klikają w prawdziwy phishing, bo wygląda tak samo jak szkoleniowy. Artykuł postuluje zmianę metodyki szkoleń na taką, która nie wyrabia złych nawyków.
Źródło: Niebezpiecznik [PL]
5. DEZINFORMACJA, CYBER WOJNA
Serbia jako baza dla rosyjskich operacji destabilizacyjnych w Europie — analiza zagrożeń
Infosecurity24.pl opisuje raport analizujący rolę Serbii w rosyjskim ekosystemie dezinformacyjnym i operacjach wywiadowczych wymierzonych w europejskie demokracje. Serbia, która nie przystąpiła do sankcji wobec Rosji i utrzymuje bliskie relacje z Moskwą, stała się według ekspertów ważnym węzłem logistycznym, finansowym i informacyjnym dla rosyjskich operacji w UE. Rosyjskie służby miałyby korzystać z serbskiej infrastruktury medialnej i sieci diasporowej do rozprowadzania dezinformacji w językach krajów Europy Środkowej i Wschodniej. Artykuł wskazuje na konkretne przypadki finansowania serbskich mediów z rosyjskich źródeł i rozkładu wpływów w tamtejszych strukturach politycznych.
Źródło: Infosecurity24.pl [PL]
Rezydencjalne proxy omijały reputację IP w 78% z 4 miliardów przeanalizowanych sesji
BleepingComputer opisuje wyniki badań pokazujących skalę nadużywania tzw. rezydencjalnych proxy — sieci adresów IP należących do prawdziwych użytkowników (często bez ich wiedzy), które cyberprzestępcy wynajmują do maskowania swoich działań. W zbadanej próbie 4 miliardów sesji internetowych aż 78% sesji używających rezydencjalnych proxy ominęło standardowe systemy filtrowania oparte na reputacji IP. Dzieje się tak dlatego, że ruch wychodzi z „legalnych" adresów domowych lub mobilnych — systemów bezpieczeństwa opartych na czarnych listach nie rozpoznaje tych adresów jako złośliwych. Rezydencjalne proxy są używane m.in. do credential stuffing (testowania skradzionych haseł), scraping'u, omijania georestrikcji i maskowania ataków DDoS.
Źródło: BleepingComputer [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 02 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.