🔐 Cyber Security Daily News | 29.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Google wyznacza 2029 rok jako termin pełnej migracji do kryptografii odpornej na komputery kwantowe
Google oficjalnie ogłosiło, że do końca 2029 roku chce zintegrować kryptografię postkwantową we wszystkich swoich systemach, produktach i usługach. Komputery kwantowe, choć jeszcze niewystarczająco wydajne, w perspektywie kilkuletniej mogą złamać większość algorytmów kryptograficznych używanych dziś w internecie — od TLS po PKI i podpisy cyfrowe. Szczególny nacisk firma kładzie na uwierzytelnianie i podpisy cyfrowe, bo utrata ich odporności podważyłaby m.in. bezpieczeństwo aktualizacji oprogramowania i weryfikację tożsamości. Kluczowym wymogiem technicznym staje się tzw. crypto agility — zdolność systemów do szybkiej wymiany algorytmów bez przebudowy całej architektury. Dla organizacji wniosek jest jasny: już teraz należy przeprowadzić inwentaryzację użycia kryptografii i zacząć planować migrację, bo 2029 rok jest bliżej, niż się wydaje.
Źródło: SecurityBezTabu [PL] | HackRead [EN]
Aktywnie eksploitowana krytyczna luka w F5 BIG-IP APM — pilna aktualizacja wymagana
HelpNetSecurity informuje o aktywnym eksploitowaniu krytycznej podatności CVE-2025-53521 w F5 BIG-IP Access Policy Manager (APM) — popularnym rozwiązaniu do zarządzania dostępem do aplikacji używanym w dużych środowiskach korporacyjnych i rządowych. Luka pozwala nieautoryzowanym atakującym na wykonanie kodu na urządzeniu lub przejęcie kontroli nad sesją użytkownika. BIG-IP APM działa jako brama dostępu do krytycznych zasobów firmy — jego kompromitacja oznacza potencjalny dostęp do wewnętrznych aplikacji, VPN i danych klientów. Administratorzy powinni natychmiast wdrożyć dostępne łatki oraz sprawdzić logi pod kątem podejrzanej aktywności w ostatnich tygodniach — podatność mogła być eksploitowana wcześniej, zanim stała się publicznie znana.
Źródło: HelpNetSecurity [EN]
Koalicja antypiracka zamknęła platformę streamingową AnimePlay obsługującą 5 milionów użytkowników
BleepingComputer informuje o likwidacji AnimePlay — jednego z większych nielegalnych serwisów streamingowych anime, który zgromadził ponad 5 milionów aktywnych użytkowników. Operacja była wynikiem skoordynowanych działań koalicji antypirackich i właścicieli praw autorskich. AnimePlay operował przez wiele lat, oferując bezpłatny dostęp do treści bez zgody twórców i dystrybutorów. Sprawa jest ciekawa nie tylko z perspektywy ochrony własności intelektualnej — nielegalne platformy streamingowe są też regularnie używane przez przestępców do dystrybucji złośliwego oprogramowania przez reklamy i podejrzane przyciski „odtwórz". Użytkownicy korzystający z podobnych platform powinni zdawać sobie sprawę z ryzyka nie tylko prawnego, ale też technicznego.
Źródło: BleepingComputer [EN]
2. INCYDENTY
Grupa ShinyHunters twierdzi, że ukradła 350 GB danych z Komisji Europejskiej
Znana grupa hakerska ShinyHunters opublikowała na swojej stronie w dark webie ogłoszenie, w którym twierdzi, że zdobyła ponad 350 GB danych z systemów Komisji Europejskiej — w tym zrzuty serwerów pocztowych, eksporty baz danych, wewnętrzne dokumenty i kontrakty. Komisja Europejska potwierdziła, że bada sprawę. Na tym etapie nie ma niezależnej weryfikacji twierdzeń, a pełna analiza tak dużego wolumenu danych wymaga czasu. ShinyHunters ma udokumentowaną historię dużych naruszeń danych, w tym ataków na platformy chmurowe. Wcześniej doniesienia wskazywały na przejęcie konta AWS powiązanego z instytucją, choć samo AWS zaprzeczyło, by doszło do incydentu w jej infrastrukturze. Jeśli twierdzenia zostaną potwierdzone, byłby to jeden z najpoważniejszych wycieków instytucjonalnych UE.
Źródło: HackRead [EN] | Security Affairs [EN]
Lloyds Bank wypłaci odszkodowania 450 tysiącom klientów po błędzie aplikacji ujawniającym dane
HackRead opisuje sprawę Lloyds Banking Group, która ogłosiła odszkodowania dla 450 tysięcy klientów po tym, jak błąd w aplikacji mobilnej przez pewien czas umożliwiał dostęp do danych innych użytkowników. Usterka polegała na nieprawidłowym powiązaniu sesji — w wyniku czego klienci mogli zobaczyć informacje o kontach innych osób, w tym salda i transakcje. Lloyds szybko usunął błąd po jego wykryciu i nie ma dowodów na celowe wykorzystanie podatności przez przestępców. Przypadek pokazuje, że błędy w aplikacjach bankowych mogą mieć dalekosiężne skutki finansowe i reputacyjne — nawet bez udziału zewnętrznych atakujących. Regulatorzy coraz surowiej traktują wycieki danych wynikające z błędów oprogramowania, traktując je na równi z naruszeniami z zewnątrz.
Źródło: HackRead [EN]
Naruszenie bezpieczeństwa platformy AI ujawniło 37 milionów rekordów
CySecurity informuje o poważnym wycieku danych z platformy oferującej usługi sztucznej inteligencji, w wyniku którego ujawniono 37 milionów rekordów zawierających dane użytkowników, w tym adresy e-mail i dane dotyczące korzystania z usługi. Szczegóły dotyczące nazwy platformy i metody ataku nie zostały w pełni ujawnione na etapie raportowania. Incydent wpisuje się w szerszy trend: platformy AI są coraz atrakcyjniejszym celem ze względu na ilość przetwarzanych danych użytkowników i wrażliwość zapytań kierowanych do modeli. Użytkownicy platform AI powinni stosować unikalne hasła do każdej usługi i włączyć MFA — szczególnie że dane o zapytaniach kierowanych do modeli mogą ujawniać wrażliwe informacje biznesowe i osobiste.
Źródło: CySecurity News [EN]
3. CIEKAWOSTKI
Wikipedia wprowadza zakaz tworzenia i przepisywania haseł przez AI
Anglojęzyczna Wikipedia przyjęła w głosowaniu społeczności redaktorów zakaz używania dużych modeli językowych (LLM) do generowania i przepisywania haseł. Nowa polityka zostawia tylko dwa wyjątki: tłumaczenia oraz drobne poprawki redakcyjne — i tylko pod ścisłym nadzorem człowieka. Społeczność redaktorów od miesięcy dyskutowała o tym, że modele AI często naruszają podstawowe reguły Wikipedii: podają zmyślone lub nieaktualne informacje, tworzą artykuły nieodwołujące się do weryfikowalnych źródeł i „halucynują" cytowania. Współzałożyciel Wikipedii Jimmy Wales wcześniej zaznaczał, że AI może pomagać przy niektórych zadaniach, ale nie przy pisaniu haseł. Decyzja jest znamienna w kontekście rosnącej roli AI w produkcji treści — Wikipedia stawia wiarygodność ponad szybkością.
Źródło: Dobreprogramy [PL]
CRN: Kod generowany przez Claude ma najwyższą liczbę zarejestrowanych podatności CVE wśród asystentów AI
CRN opisuje analizę bezpieczeństwa kodu generowanego przez popularne asystenty AI — wyniki są niepokojące. Claude Code okazuje się przodować pod względem liczby zarejestrowanych podatności CVE w kodzie, który sugeruje lub generuje. Badanie nie oznacza, że Claude jest „niebezpieczny" — odzwierciedla raczej popularność narzędzia i fakt, że generuje więcej kodu produkcyjnego, który następnie przechodzi audyty bezpieczeństwa. Ważniejszy wniosek brzmi: żaden model AI nie generuje kodu bezpiecznego domyślnie — każdy snippet wymaga przeglądu pod kątem bezpieczeństwa, zwłaszcza w kontekście obsługi danych użytkowników, uwierzytelnienia i komunikacji z API. Trend ten potwierdza ostrzeżenia NCSC o ryzyku „vibe coding" opisane w poprzednim zestawieniu.
Źródło: CRN.pl [PL]
Polska skarbówka zaczęła monitorować sprzedawców internetowych — nowe obowiązki raportowe
CRN informuje, że Krajowa Administracja Skarbowa (KAS) uruchomiła aktywną kontrolę sprzedawców działających przez platformy internetowe (Allegro, OLX, Vinted, Amazon itp.). Podstawą prawną jest unijna dyrektywa DAC7, która nakazuje platformom raportowanie dochodów sprzedawców do urzędów skarbowych — dane za rok 2025 trafiły już do KAS. Cyfrowy aspekt tej zmiany to kwestia bezpieczeństwa danych: platformy przekazują organom podatkowym obszerne dane o transakcjach i tożsamości sprzedawców, co tworzy nowe bazy danych o wartości wywiadowczej. Sprzedawcy powinni zadbać o bezpieczeństwo swoich kont na platformach handlowych (MFA, silne hasła) — dane tam przechowywane mają teraz bezpośrednie znaczenie podatkowe.
Źródło: CRN.pl [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Nowy infostealer Infinity na macOS używa fałszywej strony Cloudflare z techniką ClickFix
BleepingComputer i SecurityWeek opisują nową kampanię wymierzoną w użytkowników Maka. Atakujący tworzą strony imitujące weryfikację Cloudflare CAPTCHA, które zamiast przeprowadzić normalną weryfikację — wyświetlają instrukcję „weryfikacji ręcznej", nakazując użytkownikowi otwarcie Terminala i wklejenie polecenia. To właśnie technika ClickFix: polecenie wkleja do schowka złośliwy kod i nakłania ofiarę do jego samodzielnego uruchomienia, omijając jakiekolwiek systemy bezpieczeństwa. Kod instaluje infostealera Infinity, który wykrada hasła z przeglądarek, portfele kryptowalutowe, pliki konfiguracyjne i klucze SSH. Użytkownicy komputerów Mac powinni pamiętać, że strony internetowe nigdy nie potrzebują dostępu do Terminala — każda prośba o wklejenie komendy w Terminal to sygnał alarmowy.
Źródło: BleepingComputer [EN] | SecurityWeek [EN]
Fałszywe alerty aktualizacji VS Code na GitHubie dystrybuują malware do deweloperów
BleepingComputer opisuje kampanię wymierzoną bezpośrednio w programistów — grupę, która często ma szerokie uprawnienia w środowiskach firmowych. Atakujący tworzą repozytoria na GitHubie i opublikują komentarze w popularnych projektach, sugerując, że VS Code wymaga pilnej aktualizacji dotyczącej bezpieczeństwa. Link prowadzi do fałszywego instalatora, który zawiera malware. Deweloper klikający w link z zaufanego kontekstu (komentarz w repozytorium projektu, którego używa na co dzień) jest mniej czujny niż przy e-mailowym phishingu. Kompromitacja stacji dewelopera to jedno z najgroźniejszych naruszeń w firmie — daje dostęp do kodu źródłowego, środowisk CI/CD, kluczy API i produkcyjnej infrastruktury.
Źródło: BleepingComputer [EN]
Tycoon2FA: platforma phishingu-jako-usługi przeżywa próby likwidacji przez organy ścigania
CrowdStrike opisuje aktualny status platformy Tycoon2FA — jednego z najbardziej zaawansowanych rozwiązań PhaaS (Phishing-as-a-Service) na rynku cyberprzestępczym. Pomimo niedawnej próby likwidacji przez organy ścigania, platforma nadal działa, a jej operatorzy wdrożyli ulepszenia utrudniające wykrycie: nowe metody obfuskacji kodu JavaScript, rotację domen i bardziej zaawansowane techniki omijania analizatorów bezpieczeństwa. Tycoon2FA specjalizuje się w atakach AiTM (Adversary-in-the-Middle), które omijają uwierzytelnienie dwuetapowe przez przechwytywanie tokenów sesji. Historia pokazuje, że likwidacja infrastruktury cyberprzestępczej rzadko oznacza trwałe zakończenie działalności — operatorzy szybko odbudowują zasoby lub przenoszą się na nowe platformy.
Źródło: CrowdStrike [EN]
5. DEZINFORMACJA, CYBER WOJNA
Powiązana z Rosją grupa TA446 użyła wyciekłych exploitów DarkSword iOS do ataków na nowe cele
The Hacker News opisuje nową kampanię grupy TA446 (powiązanej z rosyjskim wywiadem), w której aktorzy zastosowali wyciekłe narzędzia z zestawu exploitów DarkSword. O ile pierwotny DarkSword był dziełem komercyjnego dostawcy spyware, to wyciek jego kodu sprawił, że stał się dostępny dla innych grup — co badacze określają jako „demokratyzację exploitów klasy państwowej". TA446 celuje przede wszystkim w dziennikarzy, działaczy politycznych i dyplomatów. Przypadek ilustruje niebezpieczny trend: narzędzia stworzone dla rządów na potrzeby nadzoru, gdy wyciekają, błyskawicznie trafiają do innych grup — zarówno państwowych, jak i przestępczych — zwiększając skalę zagrożeń dla użytkowników niezdolnych do obrony przed exploitami klasy zero-day.
Źródło: The Hacker News [EN]
Wyrok TSUE w sprawie „trolling RODO": nadmierne żądania dostępu do danych mogą stanowić nadużycie prawa
Czasopismo Lege Artis omawia ważny wyrok Trybunału Sprawiedliwości UE dotyczący tzw. trollingu RODO — praktyki polegającej na masowym wysyłaniu wniosków o dostęp do danych osobowych nie w celu ochrony prywatności, lecz z zamiarem stworzenia organizacji problemów prawnych lub finansowych. Trybunał wskazał, że prawo do dostępu do danych (art. 15 RODO) może być wykonywane niezgodnie z jego celem, jeśli żądanie ma charakter złośliwy lub wyraźnie nadmierny. Wyrok ma znaczenie dla firm przetwarzających duże ilości danych osobowych, które muszą teraz balansować między obowiązkiem odpowiadania na wnioski a ochroną przed nadużywaniem procedur RODO jako narzędzia nacisku. To orzeczenie może wpłynąć na praktykę organów ochrony danych w całej UE.
Źródło: Lege Artis [PL]
Iran rozszerza operacje cybernetyczne po napięciach militarnych z USA i Izraelem
CySecurity opisuje dynamikę irańskich operacji cybernetycznych w następstwie działań militarnych z przełomu lutego i marca 2026 roku. Iran rozszerzył skalę i zasięg cyberataków: kampanie wymierzone są nie tylko w tradycyjne cele (Izrael, USA), ale coraz częściej w sojuszników NATO, sektor energetyczny Zatoki Perskiej i infrastrukturę krytyczną na Bliskim Wschodzie. Charakterystyczna jest zmiana taktyki — grupy takie jak Handala i Nasir Security coraz częściej wdrażają komponenty destrukcyjne (wipery) zamiast ograniczać się do szpiegostwa. Konwergencja działań kinetycznych i cybernetycznych staje się cechą charakterystyczną współczesnych konfliktów, a granica między operacjami wywiadowczymi a cyberatakabilirującymi infrastrukturę krytyczną jest coraz trudniejsza do utrzymania.
Źródło: CySecurity News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 28 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.