🔐 Cyber Security Daily News | 30.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Apple wysyła powiadomienia na ekranach blokady starszych iPhone'ów o aktywnych exploitach
Apple wykonało bezprecedensowy krok: zaczęło wysyłać powiadomienia push bezpośrednio na ekrany blokady iPhone'ów z nieaktualnymi wersjami iOS, informując właścicieli o aktywnych atakach webowych wymierzonych w ich urządzenia. Komunikat „Critical Software" pojawia się na urządzeniach z iOS 17 i starszymi, informując, że Apple jest świadome ataków celujących w daną wersję systemu, i wzywając do natychmiastowej aktualizacji. Zestawy exploitów Coruna (atakujący iOS 13–17.2.1) i DarkSword (iOS 18.4–18.7) nadal są aktywnie używane przez aktorów państwowych i komercyjnych dostawców spyware. Zainfekowanie następuje przez same odwiedziny złośliwej lub skompromitowanej strony internetowej. Apple wydało łatki dla iOS 15 i 16 już 11 marca, urządzenia z iOS 13/14 muszą przejść na iOS 15 — nie ma możliwości załatania ich w miejscu.
Źródło: Security Affairs [EN]
Krytyczna luka w Citrix NetScaler ADC i Gateway (CVE-2026-3055) aktywnie skanowana przez atakujących
Security Affairs i Rapid7 alarmują o poważnej podatności CVE-2026-3055 w Citrix NetScaler ADC i Gateway, ocenionej na 9,3 CVSS. Błąd polega na nieprawidłowej walidacji wejścia prowadzącej do odczytu poza zakresem pamięci (out-of-bounds read), co umożliwia nieuwierzytelnionemu atakującemu wyciek wrażliwych danych z pamięci urządzenia. Podatność dotyczy wyłącznie konfiguracji z NetScalerem jako dostawcą tożsamości SAML (SAML IDP) — a jest to konfiguracja powszechna w środowiskach single sign-on. Firma watchTowr odnotowuje aktywne skanowanie urządzeń NetScaler w poszukiwaniu tej podatności przez sieć swoich honeypotów. Precedensy historyczne (CitrixBleed 2023) pokazują, że podobne błędy Citrixa prowadzą do masowych ataków po ujawnieniu PoC — administratorzy powinni wdrożyć łatki natychmiast.
Źródło: Security Affairs [EN]
Parlament Europejski nie przedłużył zgody na dobrowolne skanowanie prywatnych rozmów przez platformy
Telepolis opisuje dwa głosowania w Parlamencie Europejskim dotyczące tzw. Chat Control — przepisów umożliwiających platformom (Messenger, WhatsApp) dobrowolne skanowanie prywatnych wiadomości w poszukiwaniu nielegalnych treści. W pierwszym głosowaniu PE przyjął poprawkę zawężającą zakres skanowania (307 do 306 głosów), a w drugim odrzucił przedłużenie tymczasowej zgody na skanowanie (311 do 228). Oznacza to, że mechanizm wygasł z końcem marca. Nie jest to jednak koniec batalii — trwa trilog, w którym Komisja i Rada forsują duński projekt nowej regulacji zakładającej system „zachęt" do skanowania. Polskie stanowisko rządowe jest jednoznaczne: nie dla Chat Control. Wartym uwagi faktem jest sposób głosowania polskich europosłów — w detalach artykułu widać zaskakujące podziały wewnątrz partii.
Źródło: Telepolis [PL]
2. INCYDENTY
Komisja Europejska oficjalnie potwierdza cyberatak na infrastrukturę chmurową — mogło dojść do wycieku danych
Komisja Europejska wydała oficjalny komunikat potwierdzający incydent cybernetyczny wykryty 24 marca, dotyczący infrastruktury chmurowej obsługującej platformę Europa.eu. Atak nie objął wewnętrznych systemów KE, a platformy internetowe działały bez zakłóceń. Wczesne ustalenia wskazują, że atakujący pobrał część danych, choć szczegółów na razie nie ujawniono. Osoba odpowiedzialna za atak skontaktowała się z BleepingComputer, twierdząc, że wykradła ponad 350 GB danych — w tym bazy danych i korespondencję mailową pracowników — i zapowiada ich ujawnienie. Komisja zgłosiła incydent odpowiednim służbom i zaznaczyła, że Europa stoi w obliczu nasilających się ataków hybrydowych. Za atakiem stoją hakerzy z grupy ShinyHunters, choć AWS zaprzecza, by doszło do naruszenia jej infrastruktury.
Źródło: Tabletowo [PL] | SecurityBezTabu [PL]
Luka w popularnej wtyczce Smart Slider 3 umożliwia odczyt plików na 500 tysiącach stron WordPress
BleepingComputer informuje o podatności umożliwiającej odczyt dowolnych plików (file read) w Smart Slider 3 — jednej z najpopularniejszych wtyczek do tworzenia sliderów na stronach WordPress, zainstalowanej na ponad 500 tysiącach witryn. Błąd pozwala nieautoryzowanemu lub nisko uprzywilejowanemu użytkownikowi odczytać zawartość plików na serwerze — w tym pliki konfiguracyjne zawierające dane dostępowe do bazy danych lub klucze API. To klasyczny wektor ataku na strony WordPress: popularne wtyczki z milionami instalacji stają się masowym celem, bo jeden exploit działa na ogromną liczbę witryn jednocześnie. Właściciele stron z wtyczką Smart Slider 3 powinni jak najszybciej zaktualizować ją do najnowszej wersji.
Źródło: BleepingComputer [EN]
ConnectWise ostrzega przed krytyczną podatnością w oprogramowaniu do zdalnego zarządzania
CySecurity opisuje ostrzeżenie bezpieczeństwa od ConnectWise — dostawcy oprogramowania do zarządzania IT i zdalnego dostępu używanego przez tysiące dostawców usług zarządzanych (MSP). Krytyczna podatność może pozwalać atakującym na nieautoryzowany dostęp do środowisk klientów obsługiwanych przez zainfekowane instancje. Oprogramowanie ConnectWise (ScreenConnect) było już w przeszłości wielokrotnie celem ataków — jego kompromitacja jest szczególnie atrakcyjna dla przestępców, bo daje dostęp nie do jednej firmy, lecz do dziesiątek lub setek klientów obsługiwanych przez danego MSP. Firmy korzystające z ConnectWise powinni natychmiast zweryfikować dostępność aktualizacji i ograniczyć ekspozycję panelu administracyjnego.
Źródło: CySecurity News [EN]
3. CIEKAWOSTKI
Nowy technika skimmera kart płatniczych: atak przez WebRTC omija tradycyjne systemy wykrywania
Badacze Sansec odkryli nowy rodzaj skimmera kart płatniczych, który zamiast klasycznych metod (wstrzyknięcie kodu JS przechwytującego formularz) używa protokołu WebRTC do eksfiltracji skradzionych danych. WebRTC jest powszechnie używany do komunikacji wideo i audio w przeglądarkach, a połączenia WebRTC nie przechodzą przez tradycyjne bramki HTTP/S monitorowane przez systemy WAF i wykrywania zagrożeń. Skradziane dane kart płatniczych są enkapsulowane i wysyłane kanałem WebRTC bezpośrednio do serwera przestępców — omijając filtry bezpieczeństwa, które analizują jedynie ruch HTTP. To kolejna ewolucja Magecart-like attacks, gdzie napastnicy systematycznie szukają nowych kanałów komunikacji omijających coraz bardziej zaawansowane wykrywanie.
Źródło: Sansec [EN]
Yanosik: dane użytkowników ujawniają, że aplikacja jest głównie używana do wykrywania patroli policji
Techno-Senior omawia analizę wzorców użytkowania aplikacji Yanosik — popularnej polskiej nawigacji z funkcją alertów społecznościowych. Dane wskazują, że zdecydowanie dominującym przypadkiem użycia jest wzajemne ostrzeganie się kierowców przed kontrolami policyjnymi, a nie inne funkcje nawigacyjne czy informacje o korkach. Artykuł porusza kwestię prywatności: sama aplikacja gromadzi dane lokalizacyjne milionów użytkowników w czasie rzeczywistym, co czyni ją kopalnią informacji o ruchu drogowym — i potencjalnie o wzorcach poruszania się konkretnych osób. To ciekawy przykład dysonansu między deklarowanym celem aplikacji (bezpieczna nawigacja) a dominującym rzeczywistym zastosowaniem przez użytkowników.
Źródło: Techno-Senior [PL]
4. OSZUSTWA, SCAMY, EXPLOITY
Kampania malvertising W2 prowadzi od fałszywych reklam do wyłączenia ochrony EDR na poziomie kernela
Huntress opisuje wyrafinowaną kampanię atakującą firmy korzystające z oprogramowania W2 (narzędzia do zarządzania dokumentami podatkowymi). Przestępcy wykupują fałszywe reklamy w wyszukiwarkach, które pojawiają się nad organicznymi wynikami dla zapytań o W2 — ofiara trafia na spreparowaną stronę i pobiera złośliwy instalator. Łańcuch infekcji jest szczególnie niepokojący: malware eskaluje uprawnienia i na poziomie sterownika kernela (ring-0) wyłącza oprogramowanie antywirusowe i EDR, po czym instaluje backdoora. Atak na poziomie kernela jest trudny do wykrycia i neutralizacji nawet przez zaawansowane systemy bezpieczeństwa. Kampania celuje w okres rozliczeń podatkowych w USA, gdy poszukiwania oprogramowania W2 osiągają szczyt — klasyczne wykorzystanie sezonu podatkowego do cyberataków.
Źródło: Huntress [EN]
Fałszywe konto na GitHubie dystrybuujące malware jako aktualizacja VS Code — podszywanie się pod zaufane alerty
BleepingComputer opisuje kampanię skierowaną bezpośrednio w programistów, w której przestępcy tworzą repozytoria na GitHubie i komentarze w popularnych projektach sugerujące konieczność pilnej aktualizacji VS Code ze względów bezpieczeństwa. Link prowadzi do fałszywego instalatora z malware. Deweloper klikający w link widziany w kontekście zaufanego projektu jest znacznie mniej czujny niż przy typowym phishingu mailowym. Co więcej, skompromitowanie stacji roboczej programisty jest jednym z najgroźniejszych naruszeń w firmie — daje dostęp do kodu źródłowego, środowisk CI/CD i kluczy API do infrastruktury produkcyjnej. VS Code instaluje się wyłącznie przez oficjalną stronę code.visualstudio.com lub menedżer pakietów systemu operacyjnego.
Źródło: BleepingComputer [EN]
5. DEZINFORMACJA, CYBER WOJNA
AI wkracza na wojskowy poligon — systemy autonomiczne coraz bliżej rzeczywistych scenariuszy bojowych
Chip.pl opisuje postęp w militarnym zastosowaniu systemów AI i robotyki na poligonach szkoleniowych. Armie kilku krajów testują autonomiczne systemy bojowe zdolne do identyfikacji celów, nawigacji w trudnym terenie i podejmowania decyzji taktycznych bez bezpośredniego udziału człowieka. Chiny zaprezentowały system Atlas, który w ćwiczeniach symulował koordynację działań między wieloma robotami bojowymi. Militaryzacja AI budzi poważne pytania etyczne o zasady prowadzenia wojen, odpowiedzialność za ofiary i ryzyko eskalacji konfliktu przez błędy algorytmów. Coraz ściślejsze powiązanie cyberprzestrzeni i systemów autonomicznych oznacza, że cyberataki na infrastrukturę sterującą robotami bojowymi mogą mieć bezpośrednie skutki kinetyczne.
Źródło: Chip.pl [PL]
Polacy za pośrednictwem pośredników nadzoru: raport o brokerach spyware i globalnej ekspansji rynku
SecurityBezTabu omawia raport dotyczący pośredników napędzających globalną ekspansję rynku oprogramowania szpiegowskiego (spyware). Ekosystem spyware nie ogranicza się do kilku znanych producentów jak NSO Group — funkcjonuje cały łańcuch wartości: brokerzy dostępu, firmy legalizujące sprzedaż jako narzędzia „do legalnej inwigilacji", dystrybutorzy w krajach z luźnymi regulacjami i firmy przykrywkowe. Taka struktura pozwala producentom utrzymywać pozory legalności, gdy ich narzędzia trafiają do reżimów wykorzystujących je do inwigilacji dziennikarzy, opozycji i aktywistów. Raport wskazuje, że dwie trzecie przypadków nieautoryzowanej inwigilacji z użyciem spyware miało jako pośrednika firmę zarejestrowaną w państwie UE lub NATO.
Źródło: SecurityBezTabu [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 29 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.