🔐 Cyber Security Daily News | 13.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Amazon zapowiada rekordowe inwestycje w Polsce
Amazon ogłosił plan zainwestowania ponad 23 miliardów złotych w Polsce w latach 2026–2028. Środki mają trafić przede wszystkim na rozwój sieci logistycznej — na Dolnym Śląsku, w miejscowości Dobromierz, powstanie nowe centrum logistyczne o powierzchni 200 tys. mkw. Dla porównania, w całym okresie 2012–2025 gigant przeznaczył na Polskę ok. 45 mld zł, co oznacza ponad dwukrotne zwiększenie rocznego tempa inwestycji. Firma zapowiada też rozbudowę platformy Prime Video o nowe polskie tytuły. To duże finansowe zaangażowanie jednego z największych podmiotów na rynku chmurowym i logistycznym — inwestycje tego rodzaju przekładają się m.in. na miejsca pracy i rozwój infrastruktury technologicznej w kraju.
Źródło: CRN.pl [PL]
FBI i Europol rozbijają globalną sieć proxy SocksEscort
W ramach operacji „Operation Lightning" służby z ośmiu krajów zlikwidowały SocksEscort — usługę proxy działającą od 2020 roku, która zaraziła setki tysięcy domowych routerów i routerów małych firm złośliwym oprogramowaniem AVRecon. Cyberprzestępcy płacili za dostęp do zainfekowanych urządzeń, by ukryć swoje prawdziwe położenie podczas oszustw finansowych, kradzieży tożsamości, ataków ransomware i spamowych kampanii. FBI skonfiskowało 34 domeny i 23 serwery w siedmiu krajach, a także zamroziło ok. 3,5 mln dolarów w kryptowalutach. Sieć miała ok. 124 000 użytkowników i jest odpowiedzialna za dziesiątki milionów dolarów strat. Wśród zidentyfikowanych ofiar jest nowojorczyk okradziony z miliona dolarów w kryptowalutach.
Źródło: The Register [EN] | BleepingComputer [EN]
Eurojust rozbija sieć phishingową: 3 aresztowanych, szkody ponad 1 mln EUR
W operacji skoordynowanej przez Eurojust, służby z Niemiec i Francji zatrzymały trzy osoby podejrzewane o prowadzenie sieci phishingowej, która wyrządziła ofiarom straty rzędu 1 miliona euro. Przestępcy wysyłali fałszywe e-maile, by wykradać dane do bankowości elektronicznej i telefonów ofiar, a następnie omijać weryfikację dwuskładnikową. Skradzione środki trafiały na fałszywe konta kryptowalutowe, co utrudniało ich śledzenie. W toku przeszukań w obu krajach zabezpieczono kryptowaluty i biżuterię. Główny podejrzany, zatrzymany we Francji, przebywa w areszcie do czasu rozstrzygnięcia o jego ewentualnej ekstradycji do Niemiec. To kolejna akcja Eurojustu wymierzona w zorganizowane grupy phishingowe działające transgranicznie.
Źródło: Help Net Security [EN]
2. 🚨 INCYDENTY
Cyberatak na Narodowe Centrum Badań Jądrowych w Świerku — trop irański
Minister cyfryzacji Krzysztof Gawkowski poinformował, że Narodowe Centrum Badań Jądrowych w Świerku stało się celem cyberataku. NCBJ to jedyny ośrodek posiadający działający reaktor jądrowy w Polsce (reaktor Maria, 30 MW), a atak mógł być nakierowany właśnie na prestiż i potencjalne zdobycie wrażliwych danych. Według ministra próba przełamania zabezpieczeń została udaremniona: służby reagowały sprawnie, a incydent nie osiągnął planowanej skali. Pierwsze analizy wektorów ataku wskazują na Iran, choć Gawkowski zaznaczył, że ślad ten mógł zostać celowo upozorowany. Incydent miał miejsce w czasie trwającego konfliktu zbrojnego w Iranie i wpisuje się w szerszy kontekst irańskich cyberoperacji odwetowych przeciwko sojusznikom USA.
Źródło: CRN.pl [PL] | Dobreprogramy.pl [PL] | Telepolis.pl [PL]
Irańska Handala niszczy dane w Stryker Corporation
Stryker Corporation, jeden z największych na świecie producentów sprzętu medycznego, padł ofiarą cyberataku przypisanego proirańskiej grupie haktywistycznej Handala. Sprawcy podmienili strony logowania i administracyjne na wizerunek Handali, a przede wszystkim usunęli dane z urządzeń pracowników, uniemożliwiając logowanie do systemów firmy. Atak dotknął pracowników na całym świecie — w Ameryce, Europie, Azji i Australii. Stryker wykluczył zastosowanie ransomware, a skutki ograniczyły się do wewnętrznego środowiska Microsoft — produkty firmy pozostały bezpieczne. Handala jako motyw wskazała ostrzał szkoły w irańskim Minab, w którym zginęło ponad 160 osób. Eksperci stwierdzili, że tego rodzaju destrukcyjny cyberatak ze strony irańskich podmiotów był całkowicie przewidywany.
Źródło: CyberDefence24 [PL] | HackRead [EN] | Help Net Security [EN]
Apple awaryjnie łata starsze iPhone'y i iPady przed exploitami Coruna
Apple wydało aktualizacje iOS i iPadOS w wersjach 16.7.15 oraz 15.8.7 dla starszych urządzeń, które nie mogą zostać zaktualizowane do najnowszej wersji systemu. Łatki odnoszą się do zestawu exploitów Coruna (inaczej: CryptoWaters), odkrytego przez Google na początku marca — to rozbudowany zestaw 23 exploitów pokrywający systemy iOS 13 do 17.2.1. Zestaw był używany przez klientów firm szpiegowskich, ukraińskie kampanie watering hole oraz przez chińskiego aktora finansowego UNC6691, co pokazuje aktywny obrót „drugorzędnymi" exploitami zero-day na czarnym rynku. Złośliwy ładunek wykrada dane kryptowalutowe, kopie zapasowe fraz mnemonicznych i dane bankowe. Posiadacze starszych iPhone'ów (do modelu 8 włącznie) powinni jak najszybciej zainstalować aktualizację.
Źródło: Security Affairs [EN] | BleepingComputer [EN] | The Hacker News [EN]
3. 💡 CIEKAWOSTKI
Google zapłacił 171 mln USD za raporty o lukach bezpieczeństwa w 2025 roku
Google ogłosił, że w całym 2025 roku wypłacił łącznie 171 milionów dolarów w ramach swoich programów bug bounty, nagradzając badaczy za odpowiedzialne zgłaszanie luk w produktach firmy. To rekordowa kwota w historii programów Google — ponad dwukrotnie wyższa niż kilka lat wcześniej. Pieniądze trafiły do setek badaczy z całego świata, którzy znaleźli podatności m.in. w Androidzie, Chrome, usługach chmurowych i innych produktach. Bug bounty to dziś standardowa praktyka w branży: zamiast karać badaczy, firmy płacą im za odkrycia, które w przeciwnym razie mogłyby zostać sprzedane przestępcom. Tak duże sumy świadczą o tym, że bezpieczeństwo produktów staje się coraz kosztowniejsze do utrzymania, ale też że inwestycja się opłaca.
Źródło: BleepingComputer [EN]
Jak sztuczna inteligencja zmienia metody odkrywania luk przez hakerów
Nowe analizy wskazują, że AI staje się coraz potężniejszym narzędziem w rękach hakerów — nie tyle do przeprowadzania ataków, ile do automatycznego wykrywania podatności w oprogramowaniu. Modele językowe i narzędzia do analizy kodu potrafią dziś przeszukiwać ogromne bazy kodu w poszukiwaniu wzorców błędów, które człowiekowi zajęłyby tygodnie. Zmienia to proporcje sił: dotychczas odkrywanie podatności zero-day wymagało głębokiej wiedzy eksperckiej i czasu, teraz bariera wejścia spada. Jednocześnie te same możliwości mają obrońcy — przy odpowiednim zastosowaniu AI można podobnie szybko wykrywać luki przed atakującymi. Wyścig zbrojeń w cyberprzestrzeni wchodzi w nową fazę, gdzie o zwycięstwie coraz częściej decyduje, kto lepiej zaimplementuje modele AI po swojej stronie.
Źródło: CySecurity News [EN]
4. 🦹 OSZUSTWA, SCAMY, EXPLOITY
Fałszywa aktualizacja Google Meet przejmuje kontrolę nad komputerem przez MDM
Eksperci z Malwarebytes ostrzegają przed nową kampanią phishingową, w której przestępcy tworzą strony łudząco podobne do powiadomień o aktualizacji Google Meet. Po kliknięciu przycisku „Update now" ofiara nie pobiera złośliwego pliku — zamiast tego aktywuje się mechanizm ms-device-enrollment, będący częścią systemu Windows służący do zarządzania urządzeniami firmowymi (MDM). Jeśli użytkownik przejdzie przez formularz konfiguracji, jego komputer zostaje zapisany w systemie MDM kontrolowanym przez atakujących, dając im pełen dostęp: instalację i usuwanie aplikacji, zmianę ustawień, dostęp do plików, a nawet zdalne wyczyszczenie dysku. Co niepokojące, żadne złośliwe oprogramowanie nie jest pobierane, więc wiele narzędzi antywirusowych może nie wykryć niczego podejrzanego. Nigdy nie instalujcie aktualizacji Google Meet ani innych aplikacji z przypadkowych stron — korzystajcie wyłącznie z oficjalnych źródeł.
Źródło: Kapitan Hack [PL]
Luka w układach MediaTek pozwala ominąć ekran blokady Androida w mniej niż minutę
Badacze bezpieczeństwa ujawnili podatność (CVE-2026-20435) dotyczącą układów MediaTek z tzw. środowiskiem zaufanego wykonania (TEE). Problem dotyczy szacunkowo co czwartego smartfona z Androidem — głównie tańszych modeli. Demonstracja ataku pokazała, że wystarczy podłączyć telefon do laptopa kablem USB, by odzyskać PIN, odszyfrować pamięć i wyciągnąć frazy seed z portfeli kryptowalutowych. Innymi słowy: szyfrowanie dysku i ekran blokady — które mają chronić skradziony telefon — przestają działać na podatnych urządzeniach. MediaTek udostępnił już poprawkę dla producentów telefonów, ale wdrożenie aktualizacji zależy od producenta sprzętu i może trwać od kilku dni do... nigdy, jeśli telefon osiągnął koniec wsparcia. Najlepsza ochrona to regularne sprawdzanie aktualizacji i uważne pilnowanie telefonu.
Źródło: Malwarebytes [EN] | GSMManiak [PL]
Błąd w Microsoft Authenticator pozwalał złośliwym aplikacjom przechwytywać kody logowania
W aplikacji Microsoft Authenticator na Androida i iOS wykryto lukę (CVE-2026-26123), która mogła pozwolić złośliwej aplikacji zainstalowanej na tym samym urządzeniu na przechwycenie jednorazowych kodów uwierzytelniania lub linków logowania. Wystarczyło, że użytkownik przypadkowo wybrał podejrzaną aplikację jako handler dla linku logowania — atakujący mógł wtedy przejąć dostęp do kont chronionych przez Authenticator, w tym do firmowej poczty, plików w chmurze czy systemów produkcyjnych. Problem jest szczególnie poważny w środowiskach BYOD (prywatne urządzenia używane do pracy). Poprawka jest już dostępna — wystarczy zaktualizować aplikację Microsoft Authenticator przez App Store lub Google Play. Nie czekajcie z aktualizacją.
Źródło: Malwarebytes [EN]
Złośliwa konfiguracja w Claude Code umożliwiała zdalne wykonanie kodu i kradzież kluczy API
Badacze z Check Point Research odkryli kilka poważnych podatności w Claude Code — narzędziu CLI firmy Anthropic do generowania kodu przez AI. Luki były ukryte nie w samym kodzie, lecz w plikach konfiguracyjnych repozytorium (.claude/settings.json, .mcp.json). Pierwszy błąd pozwalał automatycznie wykonywać dowolne polecenia systemowe przez mechanizm Hooks zaraz po uruchomieniu Claude — bez wyraźnej zgody użytkownika. Drugi umożliwiał podmianę adresu bazowego API tak, by wszystkie żądania (wraz z kluczem API) trafiały na serwer atakującego jeszcze przed wyświetleniem jakiegokolwiek ostrzeżenia. Realistycznym scenariuszem ataku było złośliwe pull request w repozytorium lub fałszywy projekt na GitHubie. Wszystkie podatności zostały już załatane w wersji 2.0.65 — czas zaktualizować narzędzie.
Źródło: Sekurak [PL]
5. 🌐 DEZINFORMACJA, CYBER WOJNA
Iran wskazuje infrastrukturę technologiczną USA jako cele odwetowe
Irańska agencja informacyjna Tasnim, powiązana z Korpusem Strażników Rewolucji Islamskiej, opublikowała na Telegramie listę 29 obiektów technologicznych w Bahrajnie, Izraelu, Katarze i ZEA, które Iran wyznaczył jako potencjalne cele uderzeń odwetowych. Na liście znalazły się centra danych i biura Amazona, Google'a, IBM-a, Microsoftu, Nvidii, Oracle'a i Palantira — łącznie ponad 20 lokalizacji. Iran uzasadnił to wsparciem tych firm dla operacji wojskowych USA, a tydzień wcześniej dronami zaatakował trzy centra danych AWS na Bliskim Wschodzie, powodując poważne zakłócenia w usługach chmurowych. Sytuacja pokazuje, że infrastruktura cyfrowa stała się pełnoprawnym polem walki, a granica między cyberatakiem a atakiem fizycznym na obiekty technologiczne się zaciera.
Źródło: The Register [EN] | Benchmark.pl [PL]
Meta chwali się walką z oszustwami — statystyki NASK wskazują na inny obraz
Meta ogłosiła wdrożenie nowych narzędzi anty-scam na Facebooku, WhatsAppie i Messengerze — w tym powiadomień przy podejrzanych zaproszeniach do znajomych czy ofertach pracy. Firma poinformowała, że w 2025 roku usunęła ponad 159 milionów fałszywych reklam i blisko 11 milionów kont powiązanych z oszustwami. Jednak dane Ośrodka Analizy Dezinformacji NASK malują zupełnie inny obraz: platforma regularnie odrzuca zgłoszenia dotyczące fałszywego mObywatela, podszywania się pod polityków czy znane marki. Wicepremier Gawkowski wprost oskarżył Meta o zarabianie na oszukańczych treściach przy braku przepisów wymuszających odpowiedzialność. Jak podsumowała ekspertka NASK — „praktycznie każdy, kto udostępnia swój wizerunek publicznie, może paść ofiarą scammerskich reklam".
Źródło: CyberDefence24 [PL] | SecurityWeek [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 12 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.