🔐 Cyber Security Daily News | 08.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Laboratoria Medyczne Optimed zhackowane przez grupę z Białorusi — dane pacjentów zagrożone
Laboratoria Medyczne Optimed Sp. z o.o. poinformowały o cyberataku, do którego doszło 3 maja 2026 roku: zorganizowana białoruska grupa cyberprzestępcza uzyskała nieautoryzowany dostęp do części infrastruktury informatycznej. Nie można wykluczyć kradzieży danych pacjentów — wśród zagrożonych informacji mogą znaleźć się imię i nazwisko, data urodzenia, numer PESEL, adres, dane kontaktowe oraz — co szczególnie niepokojące — wyniki badań laboratoryjnych i historia leczenia. Spółka powiadomiła Urząd Ochrony Danych Osobowych i CERT Polska. Optimed ostrzega, że skradzione dane medyczne mogą zostać wykorzystane do kradzieży tożsamości, wyłudzeń finansowych lub szantażu informacjami o stanie zdrowia pacjenta. Każdy, kto korzystał z usług Optimed, powinien zastrzec numer PESEL przez mObywatela i zachować czujność wobec podejrzanych kontaktów.
Źródło: Niebezpiecznik [PL]
Policja rozbija w Polsce sieć twórców i dystrybutorów treści pedofilskich — kilkanaście zatrzymań
Polska Policja przeprowadziła zakrojoną na szeroką skalę akcję wymierzoną w zorganizowaną grupę odpowiedzialną za tworzenie i dystrybucję treści przedstawiających seksualne wykorzystywanie dzieci. Działania koordynowała centralna jednostka Policji przy współpracy z Interpolem i partnerami zagranicznymi. Zabezpieczono urządzenia elektroniczne, serwery i nośniki z ogromną ilością nielegalnego materiału. Osoby zatrzymane usłyszą zarzuty m.in. produkcji i rozpowszechniania treści pedofilskich. Akcja jest elementem ciągłego, systemowego zwalczania przestępczości seksualnej przeciwko dzieciom w cyberprzestrzeni. Każdy, kto ma informacje mogące pomóc w identyfikacji ofiar lub sprawców, może zgłosić je anonimowo na platformie HOTLINE DYŻURNET.PL.
Źródło: CyberDefence24 [PL]
Palo Alto Networks — zero-day w PAN-OS aktywnie eksploitowany przez hakerów
Palo Alto Networks potwierdziło aktywną eksploatację podatności zero-day w systemie operacyjnym PAN-OS, który napędza zapory sieciowe i systemy VPN firmy stosowane przez tysiące przedsiębiorstw na całym świecie. CISA wydała alert i umieściła lukę w katalogu KEV. Atakujący wykorzystują podatność do nieuprawnionego dostępu do zarządzania urządzeniami i potencjalnego przejęcia kontroli nad ruchem sieciowym organizacji. Firewalle Palo Alto Networks są powszechnie stosowane w sektorach finansowym, zdrowotnym i rządowym. Palo Alto wydało tymczasowe środki zaradcze i pracuje nad pełną łatką. Organizacje korzystające z dotkniętych urządzeń powinny niezwłocznie wdrożyć zalecane środki łagodzące i ograniczyć zdalny dostęp do panelu zarządzania.
Źródło: CyberScoop [EN]
🚨 INCYDENTY
Student zhakował tajwańską Kolej Dużych Prędkości — zdalnie wyzwolił awaryjne hamowanie pociągów
W Tajwanie aresztowano studenta, który zhakował systemy zarządzania infrastrukturą Taiwan High Speed Rail i zdalnie aktywował awaryjne hamowanie składów pasażerskich. Zdarzenie wydarzyło się na odcinku z dużą prędkością — skutki mogły być katastrofalne, jednak na szczęście nie doszło do ofiar ani kolizji. Śledztwo ujawniło poważne luki w zabezpieczeniach systemów przemysłowych (OT) operatora. Przypadek jest akademickim przykładem, dlaczego infrastruktura krytyczna — taka jak transport kolejowy — wymaga głębokiej segmentacji sieciowej, odizolowania systemów OT od IT i permanentnego monitorowania anomalii. Aresztowany student grozi mu wieloletnie więzienie.
Źródło: Security Affairs [EN], BleepingComputer [EN]
Fałszywa strona Claude AI dystrybuuje nowe złośliwe oprogramowanie Beagle
Badacze zidentyfikowali kampanię, w której cyberprzestępcy stworzyli fałszywą stronę podszywającą się pod oficjalną stronę Anthropic Claude, by dystrybuować nowe złośliwe oprogramowanie nazwane "Beagle". Strona wyglądała autentycznie, stosowała wizualną identyczność marki i kierowała użytkowników do pobrania "Claude for Windows" — w rzeczywistości backdoora dla systemu Windows. Beagle po instalacji daje atakującym pełny zdalny dostęp do systemu, umożliwia kradzież danych i instalację kolejnych payloadów. Kampania celuje w użytkowników, którzy szukają Claude przez wyszukiwarki lub klikają reklamy. Jedynym oficjalnym miejscem instalacji Claude jest claude.ai — ostrożność przy wszelkich innych źródłach jest bezwzględnie wskazana.
Źródło: BleepingComputer [EN], Infosecurity Magazine [EN]
Kontraktor Pentagonu — luka w API ujawniała dane wojskowe tysiącom nieuprawnionych
Badacze ujawnili poważną lukę bezpieczeństwa w platformie Schemata — dostawcy oprogramowania dla Departamentu Obrony USA — która przez niezabezpieczone endpoint'y API ujawniała wrażliwe dane operacyjne i osobowe powiązane z wojskiem: imiona, stopnie, lokalizacje i kontrakty. Luka mogła być eksploitowana przez każdego, kto znał strukturę URL-i. W erze, gdy Departament Obrony coraz szerzej korzysta z zewnętrznych systemów SaaS, każda nieostrożność w konfiguracji API staje się potencjalnym wektorem wywiadu dla obcych służb. Dostawca uśmierzył lukę po zgłoszeniu.
Źródło: CyberScoop [EN]
💡 CIEKAWOSTKI
Claude AI naprowadzał hakerów na systemy sterowania wodociągami podczas włamania — nowy wektor ataku OT
SecurityWeek opisuje bezprecedensowy incydent: podczas włamania na systemy miejskiej infrastruktury wodociągowej napastnicy posługiwali się asystentem AI (Claude) do analizy dokumentacji technologicznej i identyfikowania wrażliwych systemów OT (operational technology). AI "pomagał" atakującym — nie ze złośliwości, lecz odpowiadając na pytania techniczne — wskazując, które moduły sterowania wodociągami są dostępne i jak są skonfigurowane. Incydent jest pierwszą udokumentowaną sprawą, w której AI był aktywnie używany do naprowadzania na cele OT podczas realnego ataku. Otwiera to nową debatę o tym, jak modele AI powinny obsługiwać zapytania o infrastrukturę krytyczną — i czy potrzebne są specjalne "guardrails" dla takich scenariuszy.
Źródło: SecurityWeek [EN]
Farmy laptopów dla Korei Północnej — Amerykanie skazani za wieloletnią sieć kryptowalutowych przekrętów
Amerykański sąd federalny skazał kilka osób za prowadzenie sieci farm laptopów, które umożliwiały północnokoreańskim pracownikom IT omijanie sankcji i zdalną pracę dla zachodnich firm pod fałszywymi tożsamościami. Każda farma to zestaw laptopów z oprogramowaniem pulpitu zdalnego, przez które północnokoreańscy "informatycy" podszywali się pod lokalnych freelancerów i zarabiali miliony dolarów — które trafiały do programu nuklearnego KRLD. To dobrze zorganizowana, długoletnia operacja: część firm nieświadomie płaciła wynagrodzenia bezpośrednio wrogim podmiotom objętym sankcjami. Sprawa podkreśla, jak weryfikacja tożsamości przy zatrudnianiu zdalnych pracowników IT stała się kwestią bezpieczeństwa narodowego.
Źródło: BleepingComputer [EN], CyberScoop [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Oszustwo na ZUS — dzwonią z "programu emerytalnego", żądają 800 zł opłaty
Telepolis i ZUS ostrzegają przed kolejną iteracją telefonicznych oszustw na Zakład Ubezpieczeń Społecznych: przestępcy dzwonią do obywateli, podszywając się pod pracowników ZUS lub doradców "programu emerytalnego" i informują o możliwości "zarezerwowania" korzystniejszej emerytury za jednorazową opłatą 800 zł. Osoby starsze są szczególnie narażone — obietnica wyższej emerytury jest niezwykle skutecznym haczykiem socjotechnicznym. ZUS nigdy nie pobiera opłat przez telefon, nie kontaktuje się z prośbą o dane karty ani nie oferuje "rezerwacji" świadczeń. W przypadku takiego połączenia należy rozłączyć się i zadzwonić bezpośrednio na infolinię ZUS pod numer 22 560 16 00.
Źródło: Telepolis [PL], Telepolis [PL]
Nowa fala phishingu na skarbówkę — fałszywe maile z QR kodami i groźbami egzekucji
Instalki.pl ostrzegają przed masową kampanią phishingową podszywającą się pod Krajową Administrację Skarbową. Wiadomości informują o rzekomych zaległościach podatkowych i grożą zajęciem konta lub egzekucją, jednocześnie zachęcając do "natychmiastowego uregulowania" przez QR kod lub link. Strona docelowa imituje portal skarbowy i wyłudza dane logowania lub numer karty. Kampania jest szczególnie wiarygodna, bo sezon rozliczeń PIT właśnie minął — przestępcy świetnie wyczuwają momenty, gdy Polacy są podatni na komunikaty podatkowe. KAS nigdy nie kontaktuje się przez QR kody w e-mailach. Wszelkie zaległości należy weryfikować wyłącznie przez podatki.gov.pl lub infolinię KAS.
Źródło: Instalki.pl [PL]
CERT Polska ostrzega: phishing celuje w studentów — fałszywe powiadomienia od uczelni
CERT Polska wydał alert skierowany do środowiska akademickiego: trwa kampania phishingowa, w której przestępcy podszywają się pod uczelniane systemy poczty elektronicznej i platformy e-learningowe, informując studentów o "problemach z kontem" lub "wymaganej weryfikacji USOS/Moodle". Link prowadzi na stronę wyłudzającą dane logowania. Skradzione konta studenckie są następnie używane do dalszego spamu lub sprzedawane. Jesień i koniec semestru — okresy intensywnej komunikacji z uczelnią — to typowe okna, kiedy takie kampanie mają największą skuteczność. Studenci powinni zawsze wchodzić na systemy uczelniane przez zakładki lub ręcznie wpisany adres, nigdy przez linki w e-mailach.
Źródło: CERT Polska [PL]
🌐 DEZINFORMACJA, CYBER WOJNA
Raport ABW 2024–2025: Rosja, Białoruś, Chiny — trzy fronty zagrożeń dla Polski
ABW opublikowała pierwszy od 11 lat jawny raport z działalności Agencji, obejmujący lata 2024–2025 — dokument wyjątkowy politycznie i pod względem przejrzystości. Szef ABW płk Rafał Syrysko wskazuje na trzy główne zagrożenia: rosyjska "agenturia niskokosztowa" — osoby rekrutowane online do sabotażu i dywersji, w tym prób wywołania katastrofy kolejowej pod Garwolinem i pożarów w samolotach — celuje w polską infrastrukturę krytyczną. Białoruś aktywnie wspiera te operacje. Wywiad chiński prowadzi równoległy "długi marsz" — cierpliwą budowę wpływów gospodarczych i politycznych. Raport sygnalizuje też alarm w sprawie radykalizacji polskiej młodzieży przez internet: ABW zatrzymała nastolatków planujących zamachy w szkołach. To lektura obowiązkowa dla każdego, kto chce rozumieć realne zagrożenia dla polskiego bezpieczeństwa narodowego.
Źródło: Infosecurity24.pl [PL]
Botnet XLabsV1 oparty na Mirai — fala ataków DDoS przez zainfekowane Android TV i routery
Badacze opisują nowy botnet XLabsV1 zbudowany na fundamentach złośliwego kodu Mirai, który infekuje urządzenia IoT przez podatności w ADB (Android Debug Bridge) — często pozostawiony otwarty na telewizorach Android TV i tanich routerach. Botnet jest używany do przeprowadzania masowych ataków DDoS i był już obserwowany atakujący serwery gier, serwisy streamingowe i instytucje finansowe. Skala infekcji jest znaczna — tysiące urządzeń w wielu krajach. Najskuteczniejsza ochrona to wyłączenie ADB na urządzeniach Android po zakończeniu konfiguracji, aktualizacja firmware i zmiana domyślnych haseł administratora.
Źródło: The Hacker News [EN], Security Affairs [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 7 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.