🔐 Cyber Security Daily News | 11.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Premiera raportu Panoptykonu „Demokracja na Podsłuchu" — Polska wobec Pegasusa i spyware
Fundacja Panoptykon opublikowała obszerny raport podsumowujący stan rozliczenia afery Pegasusa i szerzej — prawnego i politycznego statusu oprogramowania szpiegującego w Polsce. Wniosek jest jednoznaczny: po 2,5 roku od wyborów parlamentarnych koalicja rządząca nie przeprowadziła ani skutecznych rozliczeń za poprzednie nadużycia, ani nie zreformowała prawa. Polskie służby wciąż korzystają z narzędzi takich jak Pegasus bez wyraźnej podstawy prawnej i bez rzeczywistej kontroli sądowej — wbrew wyrokowi Europejskiego Trybunału Praw Człowieka. Sejmowa komisja śledcza, mimo przesłuchania 79 osób, nie wydała do dziś raportu końcowego. Autorzy raportu przyznają, że narzędzi szpiegowskich używania nie cofniemy — ale brak reguł ich stosowania to "wolnoamerykanka". Raport prezentuje też ścieżki reform: m.in. obowiązkowe notyfikacje ofiar i niezależny organ kontroli operacyjnej. Premiera publiczna odbędzie się 11 maja w Warszawie.
Źródło: Panoptykon [PL]
Europa ogranicza zaufanie do USA w kwestii danych rządowych — pakiet suwerenności technologicznej
Komisja Europejska finalizuje pakiet suwerenności technologicznej, który ma zredukować zależność europejskich rządów od amerykańskich platform chmurowych (AWS, Azure, Google Cloud) w zakresie przechowywania wrażliwych danych administracyjnych. Telepolis opisuje rosnące napięcie: naciski administracji Trumpa na europejskich partnerów w kwestii regulacji AI i handlu sprawiają, że kraje UE coraz intensywniej szukają europejskich alternatyw — OVHcloud, Scaleway, Hetzner — dla klasyfikowanych danych rządowych. Perspektywa regulacyjna: dane o wrażliwości "zastrzeżone" i wyżej mają być przechowywane wyłącznie na certyfikowanej europejskiej infrastrukturze. To poważna zmiana, która bezpośrednio dotknie polskiej administracji korzystającej z rozwiązań Microsoft i AWS.
Źródło: Telepolis [PL]
Nowy dowódca Wojsk Obrony Cyberprzestrzeni — zmiany w polskim cyberwojsku
CRN.pl informuje o mianowaniu nowego dowódcy Wojsk Obrony Cyberprzestrzeni Sił Zbrojnych RP. Zmiana na tym stanowisku przypada na czas intensywnego budowania polskich zdolności defensywnych i ofensywnych w cyberprzestrzeni — zwiększonych budżetów, szkoleń i udziału w ćwiczeniach NATO. Polska Cyberprzestrzeń jest jednym z priorytetowych obszarów modernizacji polskiej armii. Nowy dowódca przejmuje formację w kluczowym momencie, gdy zagrożenia ze strony Rosji i Białorusi są stale wysokie.
Źródło: CRN.pl [PL]
🚨 INCYDENTY
Reklamy Google + udostępniane czaty Claude.ai jako wektor ataku — kampania malware na macOS
Badacze ujawnili nową, aktywną kampanię malware wymierzoną w użytkowników macOS i Windows: atakujący kupują reklamy Google dla zapytań "Claude mac download", "download claude code", "homebrew" i podobnych — przekierowując ofiary do legalnej domeny claude.ai, lecz do złośliwych, udostępnionych czatów z instrukcjami instalacji. Czaty wyglądają jak oficjalna dokumentacja i nakłaniają użytkownika do wklejenia polecenia do Terminala — które pobiera i uruchamia infostealer MacSync, kradnący dane z macOS Keychain, portfeli kryptowalutowych i przeglądarek. Atakujący sprytnie obeszli weryfikację Google Ads: reklama wskazuje prawdziwy adres claude.ai, a złośliwe instrukcje hostowane są na platformie Anthropic jako treści użytkownika (UGC). BleepingComputer potwierdził co najmniej dwa warianty kampanii działające na osobnej infrastrukturze. Zasada: nigdy nie instaluj oprogramowania przez polecenia z czatów AI — oficjalne instrukcje Claude Code znajdziesz wyłącznie w dokumentacji Anthropic.
Źródło: BleepingComputer [EN]
Ivanti EPMM — zero-day w systemie zarządzania urządzeniami mobilnymi aktywnie eksploitowany
Ivanti ostrzega przed aktywną eksploatacją podatności zero-day w Ivanti Endpoint Manager Mobile (EPMM) — oprogramowaniu do zarządzania urządzeniami mobilnymi (MDM) używanym przez tysiące organizacji rządowych i korporacyjnych. Luka umożliwia nieautoryzowane wykonanie kodu i dostęp do zarządzanych urządzeń. EPMM jest szczególnie wrażliwym celem, bo zarządza on flotą smartfonów i tabletów zawierających korporacyjne dane, e-maile i połączenia VPN. Ivanti wydał pilną łatkę i zaleca niezwłoczną aktualizację. To kolejna luka zero-day w produktach Ivanti w 2026 roku — firma jest pod stałą obserwacją CISA.
Źródło: BleepingComputer [EN]
PCPJack — nowy robak kradnie poświadczenia i czyści infekcje TeamPCP po sobie
Badacze opisują niezwykłego robaka PCPJack, który po instalacji w systemie nie tylko kradnie dane uwierzytelniające ze środowisk chmurowych (AWS, Azure, GCP), lecz aktywnie usuwa ślady poprzedniej infekcji grupy TeamPCP — zastępując jej implant własnym. To w zasadzie cyfrowa "walka gangów o terytorium": PCPJack wyspecjalizował się w przejmowaniu systemów już skompromitowanych przez konkurencję, oszczędzając sobie pracy związanej z przełamywaniem zabezpieczeń. Po kradzieży danych wyszukuje i czyści artefakty TeamPCP, by ofiara miała trudność z rozróżnieniem dwóch różnych aktorów. Przypadek ilustruje nowe zjawisko: systemy zainfekowane przez jeden gang mogą być natychmiast "podbijane" przez inne grupy.
Źródło: The Hacker News [EN], BleepingComputer [EN]
💡 CIEKAWOSTKI
Microsoft Edge przechowuje hasła w formie jawnego tekstu — i twierdzi, że to zgodne z projektem
Hackread i Malwarebytes opisują wstrząsające odkrycie: Microsoft Edge przez długi czas przechowywał hasła użytkowników w formie niezaszyfrowanego tekstu w pamięci procesu przeglądarki — co każde złośliwe oprogramowanie z dostępem do pamięci RAM może odczytać bez żadnych specjalnych uprawnień. Co gorsza, zapytany o tę podatność Microsoft odpowiedział, że jest to "zachowanie zgodne z projektem" i część standardowego modelu bezpieczeństwa Windowsa. Eksperci bezpieczeństwa reagują z niedowierzaniem: menedżer haseł, który nie szyfruje haseł w pamięci, jest poważnym zagrożeniem. Dla użytkowników: rozważ użycie dedykowanego menedżera haseł (Bitwarden, 1Password) zamiast przeglądarki do przechowywania wrażliwych danych logowania.
Źródło: Hackread [EN], Malwarebytes [EN]
Sieć 15 500 domen do wyłudzania inwestycji AI — precyzyjne targetowanie ofiar przez platformę Keitaro
Malwarebytes ujawnia mechanizmy ogromnej sieci fałszywych platform inwestycyjnych opartych na tematyce AI, obejmującej ponad 15 500 domen. Kluczowa innowacja: sieć używa Keitaro — profesjonalnej platformy śledzenia reklam — do filtrowania odwiedzających. Zwykłe osoby lub badacze bezpieczeństwa widzą niegroźną stronę; tylko "wartościowe" cele (określony region, urządzenie, profil) trafiają na właściwą stronę phishingową. Schematy obejmują fałszywe rekomendacje od celebrytów, sfałszowane materiały medialne i symulacje rzekomych zysków, które zachęcają ofiary do wpłat rosnących kwot. Skala operacji wskazuje na zorganizowaną, profesjonalną grupę przestępczą.
Źródło: Malwarebytes [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Australia ostrzega przed ClickFix — kampania dystrybuuje Vidar Stealer pod pozorem instalatorów oprogramowania
Australijskie Centrum Cyberbezpieczeństwa (ACSC) wydało alert przed aktywną kampanią ClickFix, która instaluje infostealera Vidar pod pozorem legalnych narzędzi. Vidar to jeden z najpopularniejszych infostealerów-as-a-service: kradnie dane z przeglądarek, portfele kryptowalutowe, hasła FTP i dane kart płatniczych, a skradzione dane wysyła do Telegram botów jako archiwum ZIP. Technika ClickFix jest coraz powszechniejsza w atakach na użytkowników macOS i Windows: ofiara jest proszona o wklejenie polecenia w Terminalu lub Uruchom, które uruchamia wielostopniowy łańcuch infekcji. Alert australijskich służb wskazuje na rosnącą globalność tej kampanii.
Źródło: BleepingComputer [EN]
Miliony haseł w niebezpieczeństwie — nowoczesna karta graficzna łamie 60% hashów MD5 w godzinę
Instalki.pl i The Register zwracają uwagę na niepokojący raport Kaspersky: 60% zbioru hashów MD5 ze znanych wycieków można dziś złamać w mniej niż godzinę przy użyciu nowoczesnej karty graficznej (GPU) i gotowych słowników. MD5 to algorytm hashowania haseł sprzed 30 lat, wciąż stosowany w wielu starszych serwisach i bazach danych. Postęp mocy obliczeniowej GPU sprawił, że ataki brute-force i dictionary na takie hashy są dziś szybkie i tanie. Dla użytkownika: jeśli w serwisie nie zmieniano jeszcze haseł po wycieku i używał on MD5 — twoje hasło może być już w rękach przestępców. Zawsze używaj długich, unikalnych haseł i menedżera haseł.
Źródło: Instalki.pl [PL], The Register [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Policja zamknęła reaktywację CrimeNetwork — jeden z największych darknet marketplace ponownie rozbity
Europejskie służby policyjne rozbiły reaktywację CrimeNetwork — jednego z największych i najdłużej działających forów cyberprzestępczych w Europie. Aresztowano administratora odpowiedzialnego za wznowienie platformy po wcześniejszym przejęciu przez organy ścigania. Fora darknetowe tego typu oferują pełną paletę usług: wynajem botnetu, sprzedaż danych z wycieków, malware-as-a-service, handel narkotykami i fałszywymi dokumentami. Każde zamknięcie takiej platformy jest tymczasowe — w ciągu tygodni lub miesięcy pojawiają się zamienniki lub reaktywacje. Ciągły "whack-a-mole" między służbami a operatorami darknetu wymaga coraz ściślejszej koordynacji międzynarodowej.
Źródło: BleepingComputer [EN]
Influencerzy straszą Chinami za pieniądze branży AI — nowa forma propagandy technologicznej
Chip.pl opisuje zjawisko, które można nazwać "techpropagandą na zlecenie": influencerzy i twórcy treści w mediach społecznościowych otrzymują wynagrodzenie od firm AI (głównie spoza Europy) za tworzenie materiałów straszących zagrożeniem chińskiej dominacji technologicznej. Celem jest budowanie presji politycznej na szybkie "odblokowanie" regulacji AI w USA i UE — lub na preferencyjne traktowanie konkretnych podmiotów. Treści wyglądają na organiczne opinie, w rzeczywistości są płatną komunikacją. To nowa forma dezinformacji technicznej: zamiast kłamać o faktach, manipuluje się emocjami wokół geopolityki technologicznej w celu wpływania na regulacje rynku.
Źródło: Chip.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 10 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.