🔐 Cyber Security Daily News | 14.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
INTERPOL rozbił tysiące złośliwych serwerów i zatrzymał 94 osoby w ramach Operacji Synergia III
Trzecia faza operacji Synergia pod egidą INTERPOL-u, prowadzona między lipcem 2025 a końcem stycznia 2026, przyniosła imponujące efekty: unieszkodliwiono ponad 45 000 złośliwych adresów IP i serwerów, które były używane do phishingu, rozsyłania malware i ataków ransomware. W operacji wzięło udział 72 kraje i terytoria — zatrzymano 94 osoby, a kolejne 110 jest objętych dochodzeniem. Skonfiskowano też 212 urządzeń i serwerów. Samo Bangladesz aresztowało 40 podejrzanych i zajęło 134 urządzenia powiązane z kradzieżą tożsamości, oszustwami pożyczkowymi i wyłudzeniami kart. W Togo zatrzymano 10 osób prowadzących siatkę hakerów i romansowych oszustów. Na Makau zidentyfikowano ponad 33 000 stron podszywających się pod banki, kasyna i urzędy. To największe jak dotąd podsumowanie wyników tej cyklichnej operacji.
Źródło: The Hacker News [EN] | Infosecurity Magazine [EN] | The Register [EN]
Google łata awaryjnie dwa zero-day w przeglądarce Chrome — wymagana natychmiastowa aktualizacja
Google wypuściło pilną łatkę bezpieczeństwa dla Chrome na komputery, która naprawia dwie krytyczne podatności zero-day aktywnie wykorzystywane w atakach. Pierwsza (CVE-2026-3909) to błąd zapisu poza granicami pamięci w bibliotece graficznej Skia, który może prowadzić do wykonania kodu w kontekście przeglądarki — wystarczy odwiedzić złośliwą stronę. Druga (CVE-2026-3910) dotyczy silnika JavaScript V8 i umożliwia wykonanie dowolnego kodu wewnątrz jego piaskownicy. Oba błędy mają niską złożoność ataku — ofiara nie musi nic klikać poza wejściem na odpowiednio spreparowaną stronę. Bezpieczna wersja Chrome to 146.0.7680.75/76 (Windows/macOS) lub 146.0.7680.75 (Linux). Użytkownicy przeglądarek opartych na Chromium (Edge, Brave, Opera) mogą spodziewać się analogicznej aktualizacji wkrótce.
Źródło: Malwarebytes [EN] | Security Affairs [EN] | The Register [EN]
Starbucks ujawnia naruszenie danych osobowych setek pracowników
Sieć kawiarni Starbucks poinformowała o wycieku danych dotyczącym setek swoich pracowników. Incydent wiąże się z atakiem na zewnętrznego dostawcę oprogramowania, z którego korzysta firma — w jego wyniku napastnicy uzyskali dostęp do danych personalnych zatrudnionych. Firma potwierdziła incydent i poinformowała, że zawiadomiła poszkodowanych pracowników, a sprawa jest badana. Starbucks nie potwierdził, czy doszło do kradzieży danych płatniczych czy finansowych klientów — na ten moment ujawnione informacje dotyczą wyłącznie personelu. Przypadek przypomina o ryzyku związanym z łańcuchem dostaw oprogramowania — zewnętrzny dostawca może stać się słabym ogniwem nawet dla globalnych korporacji z rozbudowanymi działami IT.
Źródło: BleepingComputer [EN] | SecurityWeek [EN] | IT Security Guru [EN]
2. INCYDENTY
Szpital Uniwersytecki w Krakowie: włamano się na skrzynkę mailową pracownika zawierającą dane pacjentów onkologicznych
Szpital Uniwersytecki w Krakowie poinformował o naruszeniu ochrony danych osobowych, do którego doszło 2 marca 2026 r. Cyberprzestępca uzyskał dostęp do firmowej skrzynki e-mailowej jednego z pracowników, w której znajdowała się korespondencja z danymi pacjentów — głównie tych diagnozowanych w ramach tzw. szybkiej ścieżki onkologicznej (Karta DILO). Wśród potencjalnie przejętych danych mogły się znaleźć imię i nazwisko, PESEL, numer telefonu, adres e-mail, miejsce zamieszkania oraz informacje o stanie zdrowia. Szpital zmienił dane logowania, zgłosił incydent do właściwych organów i zaznaczył, że na tę chwilę nie ma dowodów na to, że dane zostały upublicznione lub sprzedane. Placówka zaleca zainteresowanym rozważenie zastrzeżenia numeru PESEL. To kolejny w ostatnich miesiącach przypadek włamania na skrzynkę mailową polskiej instytucji publicznej.
Źródło: CyberDefence24 [PL]
England Hockey bada atak ransomware i potencjalny wyciek danych
Angielska Federacja Hokeja (England Hockey) poinformowała, że prowadzi dochodzenie w sprawie ataku ransomware, który mógł doprowadzić do naruszenia danych osobowych. Organizacja wykryła incydent i niezwłocznie wdrożyła procedury reagowania, izolując zainfekowane systemy. Nie ujawniono jeszcze, jakie dane zostały przejęte ani do jakiej grupy przestępczej należy przypisać atak — dochodzenie jest w toku. Federacje sportowe coraz częściej trafiają na celownik grup ransomware: przechowują dane osobowe zawodników, trenerów i kibiców, a ich zabezpieczenia bywają mniej rozbudowane niż w instytucjach finansowych czy zdrowotnych. Przypadek England Hockey wpisuje się w rosnącą falę ataków na sektor sportowy.
Źródło: BleepingComputer [EN]
Wyciek z FICOBA we Francji: ujawniono dane 1,2 mln kont bankowych
Ogólnodostępna baza danych FICOBA (Fichier des Comptes Bancaires et Assimilés), czyli francuski krajowy rejestr rachunków bankowych prowadzony przez administrację skarbową, padła ofiarą naruszenia, w wyniku którego na jaw wyszły dane 1,2 miliona kont. Wyciek może obejmować numery kont, nazwy banków i dane identyfikacyjne właścicieli. FICOBA to szczególnie wrażliwy zasób: dostęp do niego mają urzędy skarbowe, sądy i organy egzekucyjne w celu identyfikacji rachunków osób zadłużonych. Dostanie się takich informacji w niepowołane ręce otwiera drogę do precyzyjnych ataków socjotechnicznych i prób wyłudzeń. Incydent podkreśla, jak groźny jest wyciek z rejestrów prowadzonych przez instytucje państwowe.
Źródło: CySecurity News [EN]
3. CIEKAWOSTKI
Twój Smart TV może być narzędziem do szpiegowania Twojej sieci bez Twojej wiedzy
Analiza CERT Orange Polska opisuje niepokojący mechanizm działający w aplikacjach na telewizory Smart TV z systemami webOS i Tizen (LG, Samsung). Część z nich zawiera specjalny kod dołączany przez dostawców SDK — kod ten zamienia telewizor w tzw. residential proxy, udostępniając Twój adres IP zewnętrznym podmiotom. W praktyce ktoś obcy może korzystać z Twojego połączenia internetowego do tzw. scrapowania stron, trenowania modeli AI czy innych działań — podszywając się pod Twój adres domowy. W sklepie LG znajdziono ponad 200 aplikacji powiązanych z serwisem Bright Data. Eksperci radzą tworzyć osobną sieć Wi-Fi dla urządzeń IoT i korzystać z opcji izolacji klientów w routerze. To realne zagrożenie, które dotyczy milionów domów.
Źródło: Dobreprogramy [PL]
Rosja rozważa powrót publicznych budek telefonicznych po zakłóceniach internetu mobilnego w Moskwie
Rosyjski deputowany Igor Antropenko zaproponował instalację publicznych telefonów z dostępem do internetu na ulicach Moskwy. Pomysł pojawił się nie bez powodu — od pewnego czasu centrum stolicy zmaga się z powtarzającymi się zakłóceniami sieci mobilnych, które paraliżują płatności telefoniczne, nawigację, zamawianie przejazdów i dostawę jedzenia. Gdy płatności mobilne przestają działać, sklepy wracają do gotówki. Mieszkańcy przygranicznych regionów Rosji żyją z podobnymi ograniczeniami od dłuższego czasu i może to być próba przetestowania alternatywnych kanałów łączności na wypadek dalszego "uszczelniania" sieci. Pomysł ilustruje, jak głęboko zależność od smartfonów weszła w codzienne życie — i co się dzieje, kiedy ta infrastruktura jest celowo ograniczana.
Źródło: Benchmark.pl [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Phishing podszywający się pod Pocztę Polską i system e-Doręczeń — jak nie paść ofiarą
Cyberprzestępcy prowadzą nową kampanię phishingową, w której podszywają się pod oficjalną korespondencję Poczty Polskiej dotyczącą systemu e-Doręczeń. W fałszywych mailach, wysyłanych z adresów takich jak noreply[@]qohv[.]pacificasportfishing[.]com, pojawia się autentyczny komunikat używany przez PP przy zakładaniu skrzynek — to czyni atak wyjątkowo wiarygodnym. Tematy wiadomości straszą: „Ostatnie ostrzeżenie. Rozpocznie się usuwanie" lub „Abonament Cloud wygasł – przywróć dostęp teraz". Link w mailu prowadzi na fałszywe strony chmurowe, gdzie ofiara jest proszona o podanie danych karty lub uiszczenie opłaty 7 zł za „dodatkową przestrzeń". Cel: albo mała opłata, albo — co bardziej prawdopodobne — kradzież danych karty. Poczta Polska podkreśla, że oficjalne wiadomości o e-Doręczeniach wysyła wyłącznie z adresu informacja@poczta-polska.pl. Podejrzane maile należy zgłaszać na incydent@poczta-polska.pl.
Źródło: CRN Polska [PL] | Instalki.pl [PL]
CERT Polska ostrzega: fałszywe maile podszywają się pod platformy streamingowe, w tym Disney+
CERT Polska odnotował aktywną kampanię phishingową skierowaną do użytkowników serwisów streamingowych. Wiadomości podszywające się m.in. pod Disney+ trafiają do ofiar w dwóch wersjach: pierwsza informuje o „aktywacji abonamentu i naliczeniu opłaty" z możliwością jej anulowania, druga — o problemach z płatnością i konieczności aktualizacji danych. W obu przypadkach linki prowadzą na fałszywe strony, gdzie przestępcy wyłudzają dane logowania i dane kart płatniczych. Jak zawsze: przed kliknięciem warto samodzielnie wpisać adres serwisu w przeglądarce i nie ufać linkom z niepokojących wiadomości. Podejrzane SMS-y można zgłaszać na bezpłatny numer 8080, maile — przez formularz na incydent.cert.pl lub w aplikacji mObywatel.
Źródło: CERT Polska (moje.cert.pl) [PL]
Fałszywe klienty VPN firm Cisco, Fortinet i Ivanti kradną firmowe hasła — wyniki dochodzenia Microsoftu
Grupa cyberprzestępcza śledzona przez Microsoft jako Storm-2561 przeprowadza kampanię, w której podszywa się pod popularne klienty VPN — m.in. Cisco, Fortinet, Ivanti, CheckPoint, SonicWall i Sophos — by kraść dane uwierzytelniające pracowników. Mechanizm jest prosty i podstępny: atakujący manipulują wynikami wyszukiwania (SEO poisoning), by fałszywe strony lądowały na szczycie listy, gdy ktoś szuka np. „Pulse VPN download". Pobrany instalator MSI po cichu kradnie login i hasło wpisywane przez użytkownika, po czym… wyświetla błąd i otwiera oryginalną stronę producenta, kierując do prawdziwego klienta. Ofiara myśli, że to problem techniczny, i nic nie podejrzewa. Skradzione dane trafiają na serwery atakujących. Repozytorium GitHub hosting złośliwych plików zostało już usunięte. Certyfikat cyfrowy użyty do podpisania instalatora — unieważniony.
Źródło: The Register [EN] | BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
ESET: cyberzagrożenia wynikające z wojny w Iranie — przewodnik dla firm i administratorów
Eksperci ESET opublikowali szczegółową analizę cyberkonsekwencji konfliktu zbrojnego z Iranem. Już w ciągu kilku godzin od operacji „Epic Fury" (28 lutego) zmobilizowało się ponad 60 proirańskich grup hacktywistycznych. Do gry weszły też grupy prorysyjskie wspierające Iran i nawiązujące kontakty z irańskimi cyberprzestępcami na forach. Szczególnie aktywne są grupy APT powiązane z Iranem, takie jak MuddyWater (działa już bardziej skrycie, przejęła styl operacji hands-on-keyboard) i OilRig. Celem atakujących są m.in.: infrastruktura krytyczna, dostawcy MSP (by dotrzeć do ich klientów przez backdoor), systemy OT/ICS z domyślnymi hasłami oraz łańcuch dostaw oprogramowania. W kontekście destrukcji: irańscy aktorzy preferują wipery zamiast ransomware. Artykuł zawiera konkretne zalecenia: wymuszone MFA odporne na phishing, audyt dostępów zdalnych, segmentacja sieci OT, mapowanie zależności chmurowych i testowanie kopii zapasowych.
Źródło: WeLiveSecurity (ESET) [EN]
Iran-powiązani aktorzy i cyberprzestępcy eskalują ataki na USA i inne kraje — służby ostrzegają
Agencje wywiadowcze i firmy bezpieczeństwa ostrzegają przed rosnącą liczbą cyberataków przeprowadzanych przez grupy powiązane z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS), zarówno działające w sposób skoordynowany, jak i przez zmotywowanych „cybernajemników". Ataki kierowane są przeciwko sektorowi obrony, technologicznemu i infrastrukturze krytycznej w USA, Europie i regionie Zatoki Perskiej. Jednocześnie rosną obawy o możliwość dalszej eskalacji działań ofensywnych w cyberprzestrzeni, szczególnie w połączeniu z atakami fizycznymi — jak marzycielskie uderzenia dronów w centra danych AWS na Bliskim Wschodzie z 1 marca. Granica między klasycznym cyberatakiem a fizycznym atakiem na infrastrukturę cyfrową zaciera się w coraz bardziej niepokojący sposób.
Źródło: SecurityWeek [EN] | Dark Reading [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 13 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.