🔐 Cyber Security Daily News | 17.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
CISA ostrzega przed aktywnie eksploitowaną luką w Wing FTP Server
Amerykańska agencja ds. cyberbezpieczeństwa (CISA) dodała krytyczną podatność w Wing FTP Server do swojego katalogu aktywnie eksploitowanych luk i nakazała agencjom federalnym natychmiastowe wdrożenie łatek. Luka pozwala atakującemu na zdalną eskalację uprawnień bez uwierzytelnienia — w praktyce oznacza to, że ktoś z zewnątrz może przejąć pełną kontrolę nad serwerem plików bez żadnego hasła. Wing FTP Server jest używany głównie w środowiskach korporacyjnych i instytucjach, które potrzebują bezpiecznego udostępniania plików przez FTP, FTPS czy SFTP. Administratorzy serwerów powinni jak najszybciej zaktualizować oprogramowanie do najnowszej wersji. To kolejna w tym miesiącu podatność klasy „krytyczna" skatalogowana przez CISA — organizacje, które nie łatają systemów na bieżąco, wystawiają się na poważne ryzyko.
Źródło: BleepingComputer [EN]
Rada UE proponuje zakaz generowania pornografii przez AI na terenie Unii Europejskiej
Nowelizacja unijnego Aktu o sztucznej inteligencji (AI Act) zyskuje nowy, istotny zapis: Rada Unii Europejskiej zaproponowała wprost wprowadzenie zakazu generowania treści pornograficznych przez systemy AI na terenie UE. Dotychczas przepisy skupiały się głównie na zakazie treści przedstawiających seksualne wykorzystanie dzieci, natomiast nowy zapis ma rozszerzyć ochronę na dorosłych, których wizerunek mógłby być używany bez zgody do tworzenia deepfake'ów o charakterze erotycznym. Deepfake'i pornograficzne stały się w ostatnich latach poważnym narzędziem prześladowania i szantażu, szczególnie wobec kobiet. Zapis jest na etapie propozycji i musi przejść przez cały unijny proces legislacyjny, ale jego pojawienie się w dyskusji na poziomie Rady UE to wyraźny sygnał zmiany podejścia regulatorów do odpowiedzialności twórców modeli generatywnych.
Źródło: CyberDefence24 [PL]
Android 17 wprowadza tryb Advanced Protection blokujący nadużycia usług ułatwień dostępu
Google zapowiedziało, że Android 17 otrzyma nowy tryb Advanced Protection Mode, który ogranicza możliwość korzystania przez aplikacje z Accessibility Services (usług ułatwień dostępu). To istotna zmiana z punktu widzenia bezpieczeństwa — malware bankowy i stalkerware od lat nadużywa tych usług, by w tle odczytywać ekran, przechwytywać treści wiadomości czy monitorować wpisywane dane. W nowym trybie aplikacje spoza oficjalnego sklepu Play nie będą mogły korzystać z tych usług bez wyraźnej zgody użytkownika. Zmiana jest szczególnie cenna w kontekście infekcji przez sideloading — instalowanie APK z zewnętrznych źródeł jest jedną z głównych dróg infekcji w Androidzie. Tryb Advanced Protection będzie opcjonalny, ale aktywowany domyślnie dla użytkowników wysokiego ryzyka, takich jak politycy, dziennikarze czy pracownicy służb.
Źródło: Security Affairs [EN] | The Hacker News [EN]
2. INCYDENTY
Ponad 40 polskich urzędów publikowało numery PESEL w Biuletynach Informacji Publicznej
Redakcja CyberDefence24 przeprowadziła własne dochodzenie, w wyniku którego odkryła 46 jednostek publicznych — w tym urzędów gmin, starostw, ministerstw i uniwersytetów — które publicznie udostępniały niezanonimizowane dokumenty zawierające numery PESEL obywateli. Dane trafiały do BIP-ów najczęściej jako wydruki z systemu e-PUAP, gdzie pracownicy dosłownie drukowali dokumenty, stemplowali i skanowali z powrotem — razem z danymi nadawców. Problem dotyczył m.in. uproszczonych ofert realizacji zadań publicznych, w których wpisywano PESEL mimo że formularz tego nie wymagał. 19 z 32 podmiotów, które odpowiedziały, potwierdziło naruszenie ochrony danych. 8 jednostek do 13 marca w ogóle nie podjęło żadnych działań. UODO potwierdził, że PESEL w połączeniu z innymi danymi może służyć do kradzieży tożsamości, a problem nieprawidłowej anonimizacji jest w Polsce zjawiskiem systemowym.
Źródło: CyberDefence24 [PL]
Próba włamania do Narodowego Centrum Badań Jądrowych w Polsce
SecurityWeek poinformował o próbie ataku hakerskiego na Narodowe Centrum Badań Jądrowych (NCBJ) w Polsce. Centrum zajmuje się m.in. badaniami reaktorowymi i jest jedną z ważniejszych polskich instytucji naukowych w obszarze energii jądrowej. Szczegóły dotyczące metody ataku i ewentualnych sprawców nie zostały w pełni ujawnione, a NCBJ prowadzi dochodzenie we współpracy z odpowiednimi służbami. Incydent wpisuje się w szerszy trend ataków na infrastrukturę naukową i badawczą w Europie, który w ostatnich miesiącach wyraźnie przyspieszył — w lutym 2026 zaatakowano placówki naukowe w Niemczech i Finlandii. Sektor energetyki jądrowej, ze względu na swój strategiczny charakter, jest szczególnie atrakcyjnym celem dla grup związanych z państwami wrogimi wobec Zachodu.
Źródło: SecurityWeek [EN]
Luka w brytyjskim rejestrze spółek Companies House ujawniała dane dyrektorów
Brytyjski Urząd Rejestrowy Companies House potwierdził, że w jego systemie webowym (WebFiling) odkryto poważną lukę bezpieczeństwa, która umożliwiała podgląd i potencjalną modyfikację danych rejestracyjnych spółek, w tym danych osobowych dyrektorów. Błąd był zlokalizowany w funkcji zarządzania kontem i mógł pozwalać zalogowanemu użytkownikowi na dostęp do danych innych kont. Companies House zarządza ponad 5 milionami spółek zarejestrowanych w Wielkiej Brytanii, co oznacza, że luka potencjalnie dotyczyła ogromnej bazy danych. Urząd potwierdził incydent i poinformował o jego usunięciu, nie ujawniając jednak, czy z błędu skorzystali jacyś nieuprawnieni użytkownicy. Dla polskich firm i osób, które mają spółki lub oddziały w UK, może to oznaczać konieczność sprawdzenia aktualności i poprawności danych w rejestrze.
Źródło: BleepingComputer [EN] | HackRead [EN]
3. CIEKAWOSTKI
Shadow AI w organizacjach — skala zjawiska i co z tym robić
Shadow AI, czyli niesankcjonowane użytkowanie narzędzi AI przez pracowników bez wiedzy i zgody działu IT, stało się jednym z największych ukrytych zagrożeń w korporacyjnym cyberbezpieczeństwie. BleepingComputer opisuje, jak pracownicy wklejają do publicznych chatbotów wewnętrzne dokumenty, dane klientów czy fragmenty kodu źródłowego — całkowicie nieświadomi, że te dane mogą być używane do trenowania modeli lub że trafiają do zewnętrznych serwerów poza kontrolą firmy. Problem jest szczególnie trudny do wykrycia, bo narzędzia AI są dostępne przez przeglądarkę i nie wymagają instalacji. Eksperci rekomendują: inwentaryzację używanych narzędzi AI, wdrożenie polityki akceptowalnego użytkowania, a tam gdzie to możliwe — prywatnych wdrożeń modeli AI wewnątrz infrastruktury firmy. Jak podsumowuje artykuł — Shadow AI nie zniknie, bo pracownicy znajdą obejście każdego zakazu. Lepiej zatem pomóc im korzystać z AI w sposób bezpieczny niż liczyć, że zakazy coś zmienią.
Źródło: BleepingComputer [EN]
Technika Zombie ZIP potrafi ominąć antywirusa przy pierwszym skanowaniu
Badacze Malwarebytes opisali technikę zwaną „Zombie ZIP", która pozwala twórcom malware na stworzenie archiwum ZIP, które wygląda zupełnie niewinnie i przechodzi nieskazitelnie przez pierwszy skan antywirusowy — a dopiero po rozpakowaniu przez system operacyjny ujawnia złośliwą zawartość. Sztuczka polega na celowym zniekształceniu struktury pliku ZIP w taki sposób, że silniki antywirusowe traktują go jako plik niezdalny i pomijają szczegółową analizę, podczas gdy Windows i inne systemy bez problemu go rozpakują i wykonają. To kolejna odsłona technik LOL-friendly (Living Off the Land), które zamiast walczyć z antywirusem, po prostu go omijają przez eksploatację różnic w implementacjach parsowania formatów plików. Zalecenie dla użytkowników jest proste: nigdy nie otwierać archiwów ZIP pobranych z niezaufanych źródeł, nawet jeśli antywirus twierdzi, że plik jest czysty.
Źródło: Malwarebytes [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Zhakowane strony WordPress służą do dystrybucji Vidar infostealera przez fałszywe CAPTCHA
Malwarebytes opisuje nową kampanię cyberprzestępczą, w której tysiące zhakowanych witryn WordPress wyświetlają odwiedzającym fałszywe strony weryfikacji Cloudflare — popularny „Jestem człowiekiem" ekran. Zamiast prawdziwej weryfikacji, strona prosi użytkownika o uruchomienie polecenia w konsoli Windows (mshta https://...). Jeśli ofiara to zrobi, pobierany jest złośliwy skrypt HTA, który następnie po kryjomu instaluje infostealer Vidar — złośliwe oprogramowanie kradnące hasła z przeglądarek, portfele kryptowalutowe, ciasteczka sesji i zapisane dane płatnicze. Kampania dotyczy użytkowników z wielu krajów, w tym Włoch, Francji i Wielkiej Brytanii. Kluczowa zasada: żadna prawdziwa strona nie poprosi cię o uruchomienie polecenia w terminalu lub konsoli PowerShell w celu „weryfikacji człowieczeństwa" — to zawsze jest atak.
Źródło: Malwarebytes [EN]
Kampania phishingowa podszywająca się pod Pocztę Polską — nowy wariant z fałszywą informacją o wstrzymanej przesyłce
CERT Polska ostrzega przed nową falą phishingową, w której przestępcy podszywają się pod Pocztę Polską i wysyłają wiadomości e-mail informujące o „wstrzymanej przesyłce". Wiadomości zawierają linki do fałszywych stron, gdzie ofiara jest proszona o podanie danych karty płatniczej pod pretekstem opłacenia kosztów przechowania lub ponownego dostarczenia paczki. To inny schemat niż ostatnia kampania uderzająca w system e-Doręczenia — tym razem haczykiem są standardowe przesyłki kurierskie. Oszustwo żeruje na popularności zakupów online i powszechnym oczekiwaniu paczek. Poczta Polska nigdy nie wymaga podania danych karty e-mailowo lub przez SMS — wszelkie opłaty należy regulować wyłącznie przez oficjalną stronę poczta-polska.pl lub aplikację mobilną.
Źródło: CERT Polska [PL]
Vishing przez Microsoft Teams: jak atakujący podszywający się pod wsparcie IT zdołali skompromitować firmę
Microsoft Incident Response opublikował szczegółowy raport z rzeczywistego ataku, w którym cyberprzestępcy przez Microsoft Teams dzwonili do pracowników firmy, podszywając się pod wewnętrzny helpdesk IT. Po dwóch nieudanych próbach, przy trzeciej użytkownik zgodził się uruchomić Quick Assist (wbudowane narzędzie do zdalnej pomocy), dając atakującym pełny dostęp do firmowego laptopa. Następnie sprawcy nakierowali ofiarę na spreparowaną stronę internetową, gdzie przechwyciło jej dane logowania, a na urządzeniu zainstalowali malware oparty na DLL sideloadingu. Cały atak opierał się wyłącznie na inżynierii społecznej i legalnych narzędziach systemowych — żadnej luki w oprogramowaniu. Microsoft rekomenduje: ograniczyć możliwość kontaktu z zewnętrznych kont Teams oraz wyłączyć Quick Assist tam, gdzie nie jest potrzebny.
Źródło: Microsoft Security Blog [EN]
5. DEZINFORMACJA, CYBER WOJNA
Rosja instrumentalizuje wojnę na Bliskim Wschodzie w kampanii dezinformacyjnej przeciwko Ukrainie i Zachodowi
Analitycy EUvsDisinfo udokumentowali nową falę prokremlowskiej dezinformacji, która bezpośrednio łączy wojnę na Bliskim Wschodzie z konfliktem ukraińskim. Rosyjskie media, konta w mediach społecznościowych i oficjele rządowi rozpowszechniają narrację, że obecna sytuacja w regionie to „bezpośredni skutek kryzysu ukraińskiego z 2014 roku" wywołanego rzekomo przez zachodni zamach stanu w Kijowie. EUvsDisinfo przypomina, że Majdan był oddolnym ruchem społecznym, a żaden zamach stanu nie miał miejsca. Jednocześnie w sieci pojawiają się treści sugerujące, że Ukraina planuje prowokacje, by „odzyskać uwagę" mediów z dala od Bliskiego Wschodu — bez żadnych dowodów. Kampania jest skrojona tak, by przekonać zachodnich odbiorców, że wspieranie Ukrainy i Izraela to dwa przejawy tego samego „zachodniego imperializmu". Weryfikacja źródeł i spokojny osąd to najlepsza obrona.
Źródło: CyberDefence24 [PL]
Były wiceszef wywiadu zagranicznego Niemiec (BND) ofiarą przejęcia konta Signal
Arndt Freytag von Loringhoven, były wicedyrektor Federalnej Służby Wywiadowczej Niemiec (BND), padł ofiarą kampanii phishingowej wymierzonej w konta Signal. Sprawcy skontaktowali się z nim, podszywając się pod wsparcie techniczne Signala, i wyłudzili PIN do konta — co umożliwiło przejęcie i wysłanie złośliwego linku do jego kontaktów. Freytag von Loringhoven jest autorem książki o wojnie hybrydowej Putina z Niemcami, co czyni go oczywistym celem dla rosyjskich służb. Według Der Spiegla ofiarami tej samej kampanii padło wiele innych wysokich urzędników i polityków w Niemczech — sprawa stała się tak poważna, że zajął się nią zarówno BfV (kontrwywiad) jak i BSI. Signal zapewnił, że szyfrowanie i infrastruktura aplikacji są nienaruszone — atak nie wykorzystał żadnej luki w samym Signalu, lecz wyłącznie socjotechnikę i ludzki błąd.
Źródło: Security Affairs [EN]
Ramageddon: rosyjska grupa APT intensyfikuje ataki na branżę gier wideo
CRN.pl informuje o wzmożonej aktywności grupy Ramageddon — rosyjskiego podmiotu APT powiązanego z federalnymi służbami bezpieczeństwa — która skierowała swój cel na sektor gamingowy. Twórcy gier i wydawcy są atrakcyjnym celem z kilku powodów: przechowują ogromne bazy danych użytkowników, mają dostęp do platform dystrybucji treści i aktualizacji (potencjalny wektor supply chain), a ich zabezpieczenia bywają słabsze niż w sektorze finansowym. Ataki skupiają się na kradzieży własności intelektualnej, kodu źródłowego i danych osobowych graczy. Incydenty dotknęły firmy w Polsce i kilku innych krajach europejskich. Branża gier, przez lata lekceważona przez działy bezpieczeństwa jako mniej strategiczna, staje się teraz istotnym frontem cyberwojny — zwłaszcza że platformy gamingowe mają setki milionów użytkowników i ogromny potencjał jako narzędzie do szerzenia dezinformacji.
Źródło: CRN.pl [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 16 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.