🔐 Cyber Security Daily News | 30.04.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Krytyczna luka RCE w GitHub — jeden „git push" dawał dostęp do milionów prywatnych repozytoriów
Badacze z firmy Wiz ujawnili krytyczną podatność CVE-2026-3854 (CVSS 8.7) w wewnętrznej infrastrukturze git GitHub, która pozwalała każdemu uwierzytelnionemu użytkownikowi przejąć kontrolę nad serwerami backendowymi — jednym komendą git push. Podatność polegała na tym, że wartości opcji "push" przekazywane przez użytkownika trafiały bez sanityzacji do wewnętrznych nagłówków, co umożliwiało wstrzyknięcie dowolnych poleceń. Na GitHub Enterprise Server (GHES) oznaczało to pełne przejęcie serwera i dostęp do wszystkich repozytoriów i sekretów. Na GitHub.com atakujący mógł odczytać miliony repozytoriów innych użytkowników i organizacji ze współdzielonych węzłów. GitHub uśmierzył problem w mniej niż 2 godziny od zgłoszenia 4 marca, a śledztwo kryminalistyczne potwierdziło brak exploitacji przed raportem. Użytkownicy GitHub Enterprise Server powinni niezwłocznie zaktualizować do najnowszej wersji — w dniu ujawnienia aż 88% instancji GHES pozostawało niezałatanych.
Źródło: BleepingComputer [EN], The Register [EN]
Windows CVE-2026-32202 — niezamknięta luka po łatce z lutego aktywnie eksploitowana przez APT28
Microsoft i CISA potwierdziły aktywne exploitowanie podatności CVE-2026-32202 — luki w Windows Shell typu zero-click, której korzenie sięgają niekompletnej naprawy z lutego 2026. Poprzednia luka (CVE-2026-21510) była wtedy aktywnie exploitowana przez rosyjską grupę APT28 (Fancy Bear) w atakach na Ukrainę i kraje UE za pomocą spreparowanych plików skrótów (.lnk). Firma Akamai odkryła, że lutowa poprawka uśmierzyła RCE, ale pozostawiła nowy wektor: atakujący może bez żadnej interakcji użytkownika wyłudzić skrót NTLM (zahaszowane hasło), a następnie użyć go do uwierzytelnienia się jako ofiara. CISA wpisała lukę do katalogu KEV i nakazała agencjom federalnym USA wdrożyć poprawkę do 12 maja. Luka dotyczy wszystkich wspieranych wersji systemu Windows i jest już załatana — jeśli nie masz jeszcze aktualizacji z Patch Tuesday z 14 kwietnia, czas działać.
Źródło: The Register [EN]
Polska ustawa o systemach AI trafia do Sejmu — organ nadzorczy i piaskownice regulacyjne
Do polskiego Sejmu trafił projekt ustawy o systemach sztucznej inteligencji, wdrażający unijny Akt o AI do krajowego porządku prawnego. Projekt zakłada m.in. powołanie organu nadzorczego ds. AI oraz tworzenie piaskownic regulacyjnych, czyli specjalnych środowisk, w których firmy mogą testować innowacyjne rozwiązania AI pod kontrolą regulatora — bez ponoszenia pełnej odpowiedzialności prawnej. Ustawa wzbudza kontrowersje: pojawiają się obawy o upolitycznienie nowego organu i ryzyko korupcji. Regulacja ma szczególne znaczenie dla polskich startupów, które zyskają jasne ramy prawne — ale też nowe obowiązki. Podobne przepisy wdrażają wszystkie kraje UE, lecz tempo i kształt krajowych regulacji mocno się różnią. Polska ma czas na transpozycję dyrektywy, ale każdy miesiąc zwłoki to rosnąca niepewność dla branży AI.
Źródło: CyberDefence24 [PL]
🚨 INCYDENTY
Europejska policja rozbiła austriacko-albańską sieć oszustw kryptowalutowych — straty przekroczyły 50 mln euro
Wspólna akcja austriackich i albańskich służb, wspierana przez Europol i Eurojust, doprowadziła do likwidacji dużej sieci przestępczej wyspecjalizowanej w fałszywych inwestycjach kryptowalutowych. Łączne straty ofiar z całego świata szacuje się na ponad 50 mln euro. Zatrzymano 10 podejrzanych, przeszukano 3 call center i 9 prywatnych posesji — zabezpieczono prawie 900 tys. euro w gotówce, 443 komputery, 238 telefonów i inne nośniki danych. Sieć działała jak regularne przedsiębiorstwo, zatrudniając do 450 osób w działach sprzedaży, finansów, IT i HR. Schemat działania to klasyczny "pig butchering" — stopniowe budowanie zaufania ofiary i nakłanianie do wpłat na fałszywe platformy, po czym środki znikają. To kolejna odsłona niezwykle skutecznych europejskich akcji rozbijania tego rodzaju struktur.
Źródło: BleepingComputer [EN]
SBU rozbiło gang wyłudzający pieniądze od ukraińskich żołnierzy
Ukraińska Służba Bezpieczeństwa rozbiła zorganizowaną grupę przestępczą, która wyłudzała pieniądze od żołnierzy walczących na froncie. Sprawcy stosowali dwa schematy zależnie od profilu ofiary — różnicując podejście w zależności od wieku i możliwości finansowych. Metody opierały się na fałszywych tożsamościach, manipulacji emocjonalnej i zastraszaniu. Zatrzymano cztery osoby. Tego rodzaju ataki na wojskowych podczas aktywnego konfliktu to cyniczne wykorzystywanie sytuacji ludzi, którzy są pod ogromną presją psychiczną i fizyczną. SBU zebrała pełny materiał dowodowy.
Źródło: CyberDefence24 [PL]
Hakerzy zhackowali i sprzedali 610 000 kont Roblox — areszty
Policja aresztowała hakerów odpowiedzialnych za przejęcie i sprzedaż 610 000 kont na platformie Roblox, jednej z najpopularniejszych gier wśród dzieci i młodzieży. Schemat działania to klasyczny credential stuffing — używanie par login/hasło skradzionych z innych serwisów do przejęcia kont. Skradzione konta Roblox są wartościowe ze względu na walutę gry (Robux) i rzadkie przedmioty wirtualne, które można odsprzedać za prawdziwe pieniądze. Przypadek pokazuje, że platformy gamingowe dla najmłodszych stanowią atrakcyjny cel — i że rodzice powinni zadbać o to, by ich dzieci miały unikalne hasła i aktywną weryfikację dwuskładnikową na każdym koncie.
Źródło: BleepingComputer [EN]
💡 CIEKAWOSTKI
AI znalazła 38 luk bezpieczeństwa w OpenEMR — i to w jednej sesji
Badacze z Dark Reading opisali, jak model AI w ramach jednej sesji zidentyfikował 38 podatności w OpenEMR — jednym z najpopularniejszych systemów elektronicznej dokumentacji medycznej o otwartym kodzie źródłowym, używanym przez szpitale na całym świecie. To konkretny, mierzalny dowód na to, jak sztuczna inteligencja zmienia krajobraz odkrywania luk w zabezpieczeniach — zarówno po stronie obrońców (szybsze audyty), jak i atakujących (tańsze znajdowanie błędów). Warto dodać, że właśnie AI była też kluczowym narzędziem w znalezieniu opisanej wyżej luki GitHub — analitycy z Wiz użyli modeli AI do reverse engineeringu skompilowanych binarek. Eksperci są zgodni: w 2026 roku AI stała się standardowym narzędziem w ofensywnym i defensywnym bezpieczeństwie. Firmy, które jeszcze nie audytują swojego kodu z pomocą AI, są coraz bardziej w tyle za napastnikami.
Źródło: Dark Reading [EN]
Twój samochód szpieguje — fenomen CARINT, czyli wywiad motoryzacyjny
Kaspersky opisuje rosnący rynek technologii CARINT (Car Intelligence), czyli systemów pozyskiwania danych wywiadowczych z pojazdów. Nowoczesne samochody wyposażone w karty SIM, systemy głosowe i kamery zbierają ogromne ilości danych — i coraz więcej podmiotów, od policji po prywatne firmy, chce mieć do nich dostęp. Zgodnie z ustaleniami senackiego dochodzenia w USA, 9 z 14 zbadanych producentów samochodów przekazywało dane służbom bez nakazu sądowego. Izraelskie firmy (jak Rayzone czy Toka) wprost sprzedają narzędzia CARINT rządom — pozwalają śledzić trasę pojazdu, monitorować komunikację bezprzewodową auta i krzyżować dane z kamerami drogowymi. Dane te mogą obejmować historię GPS, nagrania z mikrofonu zestawu głośnomówiącego, a nawet, w zależności od producenta, informacje o preferencjach mediakalnych i zdrowiu kierowcy. Praktyczna rada: nie instaluj dedykowanej aplikacji producenta auta na swoim telefonie — to bezpośredni pomost między Twoim urządzeniem a bazami danych producenta.
Źródło: Kaspersky Blog [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
CERT Polska ostrzega: fałszywe e-maile o zwrocie podatku podszywają się pod KAS i PUESC
CERT Polska odnotował aktywną kampanię phishingową, w której przestępcy podszywają się pod Krajową Administrację Skarbową (KAS) i system PUESC, informując o rzekomym zwrocie nadpłaconego podatku dochodowego za 2025 rok. E-maile wyglądają bardzo profesjonalnie — zawierają dokładną kwotę zwrotu (np. 2210,25 zł), podstawy prawne i presję czasu: "termin potwierdzenia upływa 30 kwietnia 2026 r." Link prowadzi do strony imitującej portal PUESC, gdzie ofiara jest proszona o dane osobowe i dane karty płatniczej — które trafiają wprost do przestępców. KAS nigdy nie prosi o potwierdzenie danych karty płatniczej przez e-mail. Podejrzane wiadomości można zgłaszać na incydent.cert.pl lub przez aplikację mObywatel.
Źródło: Niebezpiecznik [PL], CERT Polska [PL]
CERT Polska: nowa kampania — fałszywy zwrot nadpłaty za energię, strona podszywająca się pod Orlen
Równolegle z kampanią podatkową CERT Polska odnotował drugą aktywną falę phishingową — tym razem z motywem rzekomej nadpłaty za energię elektryczną. Wiadomości zawierają link do strony imitującej Orlen, gdzie użytkownik jest proszony o podanie danych osobowych i numeru karty. Obydwie kampanie (podatkowa i energetyczna) korzystają z podobnej socjotechniki: wywołują presję czasu, powołują się na przepisy prawa i brzmią całkowicie wiarygodnie. Przestępcy świadomie łączą te tematy z ważnymi dla Polaków datami: koniec kwietnia to zarówno sezon rozliczeń podatkowych, jak i czas rozliczeń za energię. Aby uniknąć wpadki — zawsze samodzielnie wpisz adres serwisu w przeglądarkę, nie klikaj linków z e-maili o zwrotach.
Źródło: CERT Polska [PL]
SAP i pakiety npm skompromitowane przez grupę Mini — atak na łańcuch dostaw deweloperów
The Hacker News opisał atak na pakiety npm powiązane z SAP, przeprowadzony przez grupę Mini, która jest elementem szerszej kampanii wymierzonej w łańcuchy dostaw oprogramowania. Złośliwe paczki były instalowane przez deweloperów korporacyjnych jako zależności, co dawało atakującym dostęp do środowisk produkcyjnych w firmach korzystających z ekosystemu SAP. To kontynuacja trendu obserwowanego od kilku tygodni: kampania supply chain obrała na cel narzędzia bezpieczeństwa (Checkmarx, Bitwarden CLI) i teraz przesuwa się na narzędzia korporacyjne. Użytkownicy pakietów npm powinni regularnie audytować swoje zależności i rozważyć użycie narzędzi do weryfikacji integralności paczek.
Źródło: The Hacker News [EN]
🌐 DEZINFORMACJA, CYBER WOJNA
Iran (Handala) atakuje żołnierzy USA stacjonujących w Bahrajnie
SecurityWeek informuje, że irańska grupa hakerska Handala, znana z ataków na Izrael, rozszerzyła zasięg i atakuje teraz personel wojskowy USA stacjonujący w Bahrajnie. Kampania jest klasyczną operacją szpiegowską wspieraną przez państwo: celem jest pozyskanie danych wywiadowczych o amerykańskiej obecności wojskowej w regionie Zatoki Perskiej. Handala jest grupą powiązaną z irańskim wywiadem, aktywną zwłaszcza w odpowiedzi na eskalacje napięć w regionie. Ataki na wojskowych przez socjotechnikę i phishing to skuteczna metoda zbierania danych o rozmieszczeniu i planach sił zbrojnych bez fizycznego wejścia do chronionych systemów. Incydent pokazuje, że zagrożenie ze strony Iranu nie dotyczy już tylko Bliskiego Wschodu.
Źródło: SecurityWeek [EN]
Raport: Rosja na czele rankingu cenzury internetu — szeroka blokada treści na skalę globalną
Security Affairs opisuje nowy indeks cenzury internetu, który wskazuje Rosję jako lidera blokowania treści w sieci. Rosyjski Roskomnadzor od lat stosuje agresywną filtrację: blokuje niezależne media, serwisy społecznościowe (w tym Bluesky), serwisy VPN, a nawet artykuły w Wikipedii dotyczące wrażliwych tematów politycznych. Skala jest bez precedensu — lista zablokowanych domen liczy setki tysięcy adresów. Badacze podkreślają, że model rosyjski jest coraz częściej kopiowany przez inne autorytarne rządy. W kontekście toczącej się wojny z Ukrainą cenzura internetu jest też narzędziem dezinformacji: blokowanie zagranicznych źródeł informacji pozwala kontrolować narrację docierającą do rosyjskich obywateli.
Źródło: Security Affairs [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 29 kwietnia 2026 r. W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.