🔐 Cyber Security Daily News | 10.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CERT Polska ujawnia podatności w systemie sterowania stacjami pomp Hydrosystem — SQL injection i brak autoryzacji w infrastrukturze wodnej
CERT Polska opublikował w ramach odpowiedzialnego ujawnienia (CVD) trzy podatności w oprogramowaniu Hydrosystem Control System — systemie używanym do sterowania stacjami pomp i infrastrukturą wodociągową. Najgroźniejsze to: wstrzyknięcie SQL (CVE-2026-34185), brak weryfikacji autoryzacji (CVE-2026-34184) i zapisywanie wrażliwych danych w logach (CVE-2026-4901) — wszystkie dotyczą wersji poniżej 9.8.5. Podatności tego rodzaju w systemach OT (Operational Technology) zarządzających infrastrukturą wodną są szczególnie poważne: dają potencjalnie możliwość zdalnej manipulacji pracą pomp bez wiedzy operatora. CERT koordynował proces z producentem i zaleca natychmiastową aktualizację do wersji 9.8.5 lub nowszej.
Źródło: CERT Polska [PL]
Adobe Reader — zero-day aktywnie eksploatowany od grudnia, łatka dopiero teraz
BleepingComputer, The Hacker News i HelpNetSecurity informują, że Adobe Reader zawierał krytyczną podatność zero-day eksploatowaną przez hakerów od co najmniej grudnia 2025 roku — a więc przez ponad trzy miesiące, zanim Adobe wydało łatki. Błąd umożliwiał wykonanie złośliwego kodu po prostu przez otwarcie spreparowanego pliku PDF. Kampania była wycelowana głównie w firmy i instytucje rządowe — pliki PDF były dostarczane w phishingowych e-mailach podszywających się pod faktury i dokumenty prawne. CISA dodała podatność do katalogu Known Exploited Vulnerabilities. Wszystkim użytkownikom Adobe Acrobat i Reader zalecana jest natychmiastowa aktualizacja.
Źródło: BleepingComputer [EN] | The Hacker News [EN] | HelpNetSecurity [EN] | The Register [EN]
Ministerstwo Cyfryzacji, NASK i ABW testują szyfrowany komunikator dla polskiej administracji
CyberDefence24 informuje, że podczas konferencji Resilience_Tech 2026 w Bydgoszczy wiceminister cyfryzacji Paweł Olszewski ogłosił, że Polska stworzyła własny szyfrowany komunikator dla administracji rządowej, samorządowej i podmiotów infrastruktury krytycznej. Aplikacja powstała wspólnie przez Ministerstwo Cyfryzacji, NASK i ABW, jest hostowana na polskich serwerach i pozostaje niedostępna z zewnątrz. Aktualnie trwa faza testów na zamkniętej grupie użytkowników. W przyszłości nie wyklucza się udostępnienia aplikacji obywatelom. To odpowiedź na potrzebę suwerennej, bezpiecznej komunikacji — analogiczna do inicjatyw w Niemczech i Francji, które nie chcą polegać wyłącznie na komercyjnych dostawcach komunikatorów z USA.
Źródło: CyberDefence24 [PL]
APT28 wdraża malware PRISMEX w nowej kampanii szpiegowskiej — The Hacker News dokumentuje ewolucję technik GRU
The Hacker News opisuje nową kampanię grupy APT28 (GRU), w której hakerzy wdrażają dotychczas nieznane złośliwe oprogramowanie o nazwie PRISMEX. Narzędzie to jest wyrafinowanym backdoorem wyposażonym w moduły do kradzieży poświadczeń, przechwytywania schowka, keyloggowania i eksfiltracji plików przez zaszyfrowany tunel. PRISMEX wydaje się logiczną ewolucją wcześniejszych narzędzi GRU — X-Agent i Sofacy — dostosowaną do omijania nowoczesnych systemów EDR. Kampania obejmuje cele w sektorze rządowym i dyplomatycznym w Europie Wschodniej i krajach NATO, ze szczególnym uwzględnieniem podmiotów zaangażowanych we wsparcie Ukrainy.
Źródło: The Hacker News [EN]
2. INCYDENTY
Wyciek danych w PLL LOT — roczne arkusze ocen 300 pracowników trafiły do przypadkowych odbiorców
CyberDefence24 informuje o incydencie danych w Polskich Liniach Lotniczych LOT: pod koniec marca błąd aplikacji odpowiedzialnej za przypisywanie raportów konkretnym odbiorcom spowodował, że ponad 300 pracowników otrzymało e-mailem roczne arkusze ocen swoich kolegów i koleżanek. Dokumenty zawierają nie tylko dane osobowe, ale też oceny punktowe, informacje o skargach, certyfikatach, szkoleniach i wynikach. LOT potwierdził incydent i twierdzi, że wysyłka została wstrzymana po wykryciu błędu, ale anonimowe źródła sugerują, że skala wycieku może być większa niż oficjalnie przyznano. Incydent pokazuje, że wycieki wewnętrzne spowodowane błędami aplikacji są równie poważnym zagrożeniem co ataki zewnętrzne.
Źródło: CyberDefence24 [PL]
Eurail potwierdza naruszenie danych z grudnia 2025 — 300 000 osób dotkniętych wyciekiem
BleepingComputer i SecurityWeek informują, że Eurail — europejski operator przepustek kolejowych — potwierdził, że grudniowy atak hakerski dotknął dane 300 000 osób. Wśród wykradzionych informacji znajdują się imiona i nazwiska, adresy e-mail, a w niektórych przypadkach dane paszportowe i daty urodzenia. Eurail poinformował o incydencie organy ochrony danych i zaczął rozsyłać powiadomienia do poszkodowanych z 4-miesięcznym opóźnieniem — co samo w sobie budzi pytania o zgodność z wymogami RODO (72 godziny na zgłoszenie). Osoby dotknięte wyciekiem powinny być czujne na próby phishingu i nie otwierać e-maili rzekomo od Eurail z prośbami o weryfikację danych.
Źródło: BleepingComputer [EN] | SecurityWeek [EN]
Bitcoin Depot — operator bankomatów kryptowalutowych traci 3,6 miliona dolarów po ataku na portfele
SecurityWeek i BleepingComputer donoszą, że Bitcoin Depot — jeden z największych operatorów kryptowalutowych bankomatów w USA — potwierdził kradzież 3,6 miliona dolarów z firmowych portfeli cyfrowych. Atak polegał na przejęciu dostępu do infrastruktury zarządzającej funduszami przechowywanymi w bankomatach. Bitcoin Depot obsługuje ponad 8000 bankomatów i jest spółką notowaną na giełdzie. Incydent pokazuje, że firmy z sektora kryptowalutowego pozostają wysokim priorytetem dla przestępców — w ostatnich tygodniach zaatakowana była też platforma Drift (285 mln dolarów) i kilka mniejszych projektów DeFi.
Źródło: SecurityWeek [EN] | BleepingComputer [EN]
3. CIEKAWOSTKI
Badacze ominęli zabezpieczenia Apple Intelligence — atak przekierowywaniem intencji bez zmiany systemu
SecurityWeek i The Register opisują badania, w których naukowcom udało się ominąć mechanizmy bezpieczeństwa Apple Intelligence (asystenta AI zintegrowanego w iOS/macOS) bez modyfikowania systemu. Atak — nazwany „intent redirection" — polegał na spreparowaniu kontekstu wywołania asystenta w taki sposób, by wykonał on działania niezamierzone przez użytkownika, np. wysłał dane do zewnętrznego serwera lub udostępnił poufne informacje. Microsoft opublikował osobną analizę o podatności na intent redirection w SDK dla Androida. Badania ujawniają, że integracja AI w systemach operacyjnych tworzy nową kategorię powierzchni ataku, której zabezpieczenie wymaga nowego podejścia — nie tylko skanowania złośliwego kodu, ale też weryfikowania intencji.
Źródło: SecurityWeek [EN] | The Register [EN]
Emotkony w komunikacji grup hakerskich — Dark Reading opisuje ukryte kanały C2 przez emoji
Dark Reading opisuje odkrycie badaczy, że niektóre grupy cyberprzestępcze używają emoji osadzonych w poleceniach C2 (command and control) jako steganograficznego narzędzia ukrywania komunikacji. Technika polega na tym, że sekwencje konkretnych emotikonek kodują rozkazy dla złośliwego oprogramowania — skanery bezpieczeństwa szukające podejrzanych poleceń w czystym tekście mają trudność z interpretacją takich sekwencji. Metoda jest szczególnie skuteczna w kanałach komunikacji, które notorycznie zawierają emoji (Telegram, Discord). To kolejny przykład, jak hakerzy adaptują do własnych celów legitymacyjne funkcje popularnych platform.
Źródło: Dark Reading [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Kampania phishingowa w Polsce podszywa się pod PUESC i obiecuje zwrot podatku — szczegółowa analiza SIRT
PREBYTES Security Incident Response Team (SIRT) opublikował szczegółową analizę kampanii phishingowej, która pojawia się w szczycie sezonu rozliczeń PIT, podszywając się pod Platformę Usług Elektronicznych Skarbowo-Celnych (PUESC). E-maile z fałszywych adresów sugerujących powiązanie z Ministerstwem Finansów informują o przyznaniu konkretnej kwoty zwrotu (1776,10 zł) i wymagają „potwierdzenia danych do wypłaty" w ciągu 48 godzin. Wieloetapowy formularz zbiera PESEL, dane adresowe, a na końcu pełne dane karty płatniczej — pod pozorem wyboru metody wypłaty. PUESC nigdy nie prosi o dane karty przez e-mail — jedyną bezpieczną metodą weryfikacji jest logowanie bezpośrednio przez stronę podatki.gov.pl.
Źródło: SIRT.pl [PL]
Hakerzy ukrywają skimmer kart kredytowych w piksel-dużym elemencie SVG — nowa technika unikania wykrycia
BleepingComputer opisuje nową technikę stosowaną przez grupy Magecart (specjalizujące się w kradzieży danych kart na stronach zakupowych): złośliwy kod skimmera jest ukryty wewnątrz pliku SVG (grafiki wektorowej) o rozmiarze dosłownie 1×1 piksela. Obraz jest niewidoczny dla użytkownika i administratora strony, lecz ładuje się razem z kodem strony i aktywuje się w momencie wypełniania formularza płatności. Technika skutecznie omija wiele systemów monitorowania integralności plików, bo obrazki SVG rzadko są traktowane jako potencjalny wektor zagrożenia. Administratorzy sklepów internetowych powinni wdrożyć subresource integrity i regularne skanowanie treści statycznych.
Źródło: BleepingComputer [EN]
Dobreprogramy i CERT Orange ostrzegają przed SMS-ami o „aktualizacji karty SIM" — rosnąca fala smishingu
Dobreprogramy i CERT Orange Polska ostrzegają przed nasileniem fali SMS-ów informujących o konieczności „pilnej aktualizacji karty SIM" z linkiem do fałszywej strony operatora — identyczne ostrzeżenie wczoraj opublikowały też Instalki.pl. Kampania jest aktywna i ewidentnie skalowana — to samo SMS-y docierają do użytkowników różnych operatorów. Strony phishingowe zbierają dane logowania do bankowości lub numer karty płatniczej pod pretekstem weryfikacji abonenta. Zasada jest prosta: operatorzy nie kontaktują się w sprawie karty SIM przez SMS z linkiem — jedyna legalna wymiana karty wymaga wizyty w salonie z dowodem tożsamości. SMS-y należy zgłaszać przez portal moje.cert.pl.
Źródło: Dobreprogramy [PL]
5. DEZINFORMACJA, CYBER WOJNA
Rosyjski wywiad SWR ingeruje w politykę kościelną Gruzji — jawna operacja wpływu po śmierci patriarchy
CyberDefence24 analizuje raport The Jamestown Foundation o bezprecedensowej jawności rosyjskiej operacji wpływu w Gruzji: po śmierci patriarchy Eliasza II rosyjska Służba Wywiadu Zagranicznego (SWR) wydała oficjalne oświadczenie oskarżające patriarchę ekumenicznego Bartłomieja I o destabilizację Gruzińskiego Kościoła Prawosławnego — sugerując tym samym chęć wpływania na wybór następcy. Jak analizuje The Jamestown Foundation, jest to wyjątkowo bezpośrednia interwencja, nieukrywana za pośrednikami czy anonimowymi kanałami. Według raportu ESDZ w 2025 roku SWR przyjęła bardziej widoczną rolę w operacjach informacyjnych, publikując oficjalne komunikaty zawierające fałszywe twierdzenia, by nadać dezinformacji pozory instytucjonalnej wiarygodności.
Źródło: CyberDefence24 [PL]
Operacja Masquerade: FBI bierze udział w rozbijaniu rosyjskiej siatki szpiegowskiej opartej na przejętych routerach
HackRead i CyberScoop opisują szczegóły operacji Masquerade — koordynowanej przez FBI akcji rozbijającej infrastrukturę szpiegowską APT28/Forest Blizzard opartą na przejętych routerach. Akcja formalnie zakończyła działalność sieci liczącej tysiące przejętych urządzeń SOHO, przez które rosyjski GRU przechwytywał tokeny uwierzytelniające Microsoft 365 użytkowników w kilkudziesięciu krajach. Co ciekawe: FBI skorzystało z sądowego upoważnienia do zdalnego „czyszczenia" konfiguracji DNS na przejętych routerach w USA — kontrowersyjna, ale coraz częściej stosowana metoda, pozwalająca na „odtrucie" urządzeń bez fizycznego dostępu. Operacja jest milowym krokiem w podejściu do cyberobrony, gdzie władze aktywnie neutralizują infrastrukturę atakującego, a nie tylko ostrzegają ofiary.
Źródło: HackRead [EN] | CyberScoop [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 9 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.