🔐 Cyber Security Daily News | 16.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. NEWS
Microsoft wydaje awaryjną łatkę Windows 11 zamykającą poważną lukę w usługach zdalnego dostępu
Administratorzy IT korzystający z Windows 11 w wersjach 24H2 i 25H2 powinni jak najszybciej sprawdzić, czy aktualizacja KB5084597 trafiła na ich urządzenia. Łatka, wydana poza standardowym cyklem aktualizacyjnym jako hotpatch, eliminuje trzy podatności (CVE-2026-25172, CVE-2026-25173, CVE-2026-26111) w usłudze Routing and Remote Access Service (RRAS), która służy do zdalnego zarządzania serwerami. Wszystkie trzy błędy umożliwiały zdalne wykonanie kodu — atakujący mógł nakłonić urządzenie do połączenia ze swoim serwerem i tym samym przejąć nad nim kontrolę. Dobra wiadomość: hotpatch instaluje się w tle i — co kluczowe w środowiskach firmowych — nie wymaga ponownego uruchomienia komputera. Mechanizm hotpatch jest przeznaczony dla urządzeń zarządzanych przez Windows Autopatch i obecny głównie w firmach, więc zwykli użytkownicy domowi nie muszą się martwić.
Źródło: Instalki.pl [PL] | BleepingComputer [EN]
Instagram wycofuje szyfrowanie end-to-end z wiadomości bezpośrednich od maja 2026
Meta ogłosiła, że funkcja szyfrowania end-to-end (E2EE) w wiadomościach bezpośrednich na Instagramie przestanie być obsługiwana po 8 maja 2026 roku. Szyfrowanie E2EE polega na tym, że klucze do odczytania wiadomości posiadają wyłącznie nadawca i odbiorca — nawet Meta nie jest w stanie jej odczytać. Po wyłączeniu tej funkcji wiadomości będą technicznie dostępne dla platformy, a co za tym idzie — potencjalnie na żądanie sądowe dla organów ścigania. Firma nie podała żadnego oficjalnego uzasadnienia tej decyzji. Warto przy tym pamiętać, że należący do Meta WhatsApp nadal oferuje E2EE domyślnie. Jeśli prywatność rozmów jest dla kogoś istotna, warto rozważyć przejście na komunikatory gwarantujące szyfrowanie, takie jak Signal. Sama Meta nie odpowiedziała na pytania mediów w tej sprawie.
Źródło: PurePC.pl [PL]
BetterLeaks: nowe otwarte narzędzie do skanowania sekretów w kodzie — następca GitLeaks
W środowiskach deweloperskich pojawił się BetterLeaks — nowy, otwartoźródłowy skaner wykrywający przypadkowo umieszczone w kodzie sekrety, takie jak klucze API, tokeny uwierzytelniające czy hasła. Narzędzie powstało jako odpowiedź na ograniczenia i spowolniony rozwój popularnego GitLeaks. Problem przypadkowego umieszczania wrażliwych danych w repozytoriach Git to jeden z najczęstszych i najbardziej kosztownych błędów bezpieczeństwa w środowiskach deweloperskich — wiele głośnych wycieków danych w ostatnich latach rozpoczynało się właśnie od odkrycia przez atakujących kluczy API wypchnięciem na publiczne GitHub. BetterLeaks oferuje szybsze skanowanie, rozbudowane zestawy reguł i lepszą integrację z pipeline'ami CI/CD. Narzędzie jest dostępne bezpłatnie na licencji open-source.
Źródło: BleepingComputer [EN]
2. INCYDENTY
Payload Ransomware: atak na Królewski Szpital Bahrajnu — 110 GB danych i termin 23 marca
Stosunkowo nowa, lecz aktywna grupa Payload Ransomware ogłosiła, że przejęła 110 GB danych z Royal Bahrain Hospital (RBH) — wiodącej prywatnej placówki zdrowotnej w Bahrajnie, obsługującej pacjentów z kilku krajów Zatoki Perskiej. Jako dowód włamani opublikowali zrzuty ekranu zhakowanych systemów na swojej stronie w sieci Tor. Deadline na zapłatę okupu wyznaczono na 23 marca 2026. Payload operuje w modelu podwójnego wymuszenia (double extortion): szyfruje dane i grozi ich upublicznieniem. Technicznie używa ChaCha20 do szyfrowania plików i Curve25519 do wymiany kluczy, a przed działaniem usuwa kopie cieni. RBH do tej pory nie skomentował publicznie incydentu, a zakres danych pacjentów, które mogły zostać przejęte, jest jeszcze nieznany. Sektor ochrony zdrowia pozostaje jednym z najbardziej atakowanych przez grupy ransomware.
Źródło: Security Affairs [EN]
Wyciek danych klientów Baydöner — turecka sieć restauracji z 1,3 milionem ujawnionych rekordów
W marcu 2026 doszło do wycieku danych klientów tureckiej sieci restauracji Baydöner, specjalizującej się w dürümach. Incydent ujawnił ponad 1,2 miliona unikalnych adresów e-mail, a przy tym imiona i nazwiska, numery telefonów, miejsca zamieszkania oraz — co szczególnie niepokojące — hasła w postaci jawnej (plaintext), bez jakiegokolwiek hashowania. Część rekordów zawierała też turecki numer identyfikacyjny (TCKN) oraz datę urodzenia. Baydöner w swoim komunikacie zapewnił, że dane płatnicze i finansowe nie zostały naruszone. Hasła w postaci jawnej to poważny problem, bo otwiera furtkę do ataków credential stuffing — czyli prób logowania tymi samymi hasłami na inne serwisy. Jeśli używacie tego samego hasła w wielu miejscach, to najlepszy moment, by to zmienić.
Źródło: Have I Been Pwned [EN]
Serwis z niestandardowymi skinami do League of Legends Divine Skins zhakowany
W marcu 2026 roku Divine Skins — popularny serwis oferujący niestandardowe skórki (skiny) do gry League of Legends — padł ofiarą włamania. Sprawca uzyskał nieuprawniony dostęp do części systemów serwisu, usunął wszystkie skiny z bazy danych i jednocześnie ujawnił dane 105 tysięcy użytkowników: adresy e-mail, nazwy użytkownika oraz historię zakupów. Serwis poinformował o incydencie przez swój serwer Discord. Brak zaszyfrowanych haseł w przejętych danych to dobra wiadomość, ale historia zakupów może być używana do precyzyjnych ataków socjotechnicznych. Sprawa to klasyczny przykład tego, że nawet małe serwisy gamingowe przechowują dane, które mają wartość dla cyberprzestępców.
Źródło: Have I Been Pwned [EN]
Loblaw ujawnia wyciek danych klientów — jeden z największych detalistów w Kanadzie
Loblaw Companies, jeden z największych detalistów i operatorów sieci supermarketów w Kanadzie, poinformował o naruszeniu bezpieczeństwa obejmującym dane osobowe klientów. Firma prowadzi m.in. sieci Loblaws, Real Canadian Superstore, Shoppers Drug Mart i No Frills, co sprawia, że potencjalny zasięg incydentu jest znaczący. Szczegóły dotyczące skali wycieku i rodzaju naruszonych danych nie zostały w pełni upublicznione, jednak SecurityWeek potwierdził, że incydent dotyczy informacji o klientach. Loblaw prowadzi dochodzenie i kontaktuje się z poszkodowanymi. To kolejny w ostatnich tygodniach przypadek naruszenia danych w sektorze handlu detalicznego — po incydencie w Starbucks — co wskazuje na rosnące zainteresowanie cyberprzestępców tą branżą.
Źródło: SecurityWeek [EN]
3. CIEKAWOSTKI
Hakerzy aktywnie wykorzystują podatność w OpenClaw do przejęcia kontroli nad agentami AI
Badacze bezpieczeństwa potwierdzili aktywne eksploatowanie krytycznej luki w OpenClaw — frameworku do budowania lokalnych agentów AI. Podatność, określana jako „ClawJacked", pozwala złośliwej stronie internetowej na przejęcie kontroli nad lokalnie uruchomionym agentem AI za pośrednictwem połączenia WebSocket. W praktyce oznacza to, że odwiedzenie spreparowanej strony www przez użytkownika korzystającego z OpenClaw może dać atakującemu możliwość wydawania poleceń agentowi — czytania plików, wykonywania kodu czy przesyłania danych na zewnątrz. Problem wynika z braku odpowiedniej weryfikacji źródła połączeń WebSocket. Incydent pokazuje, że nowe klasy narzędzi AI otwierają nowe wektory ataku, które nie były brane pod uwagę przy projektowaniu tradycyjnych modeli bezpieczeństwa. Użytkownicy OpenClaw powinni zaktualizować oprogramowanie i tymczasowo unikać uruchamiania agenta podczas przeglądania nieznanych stron.
Źródło: CySecurity News [EN]
Eksperci ostrzegają: pełne szyfrowanie dysków nie zapewnia już wystarczającej ochrony
Specjaliści ds. bezpieczeństwa biją na alarm: pełne szyfrowanie dysku (Full Disk Encryption, FDE) — powszechnie stosowane w laptopach firmowych i rekomendowane jako podstawowa ochrona danych — może dawać fałszywe poczucie bezpieczeństwa. Współczesne ataki coraz częściej omijają szyfrowanie dysku, atakując dane w trakcie działania systemu, gdy dysk jest już odszyfrowany i dostępny. Scenariusze obejmują m.in. ataki cold boot (wyciągnięcie kluczy z pamięci RAM po gwałtownym restarcie), ataki DMA przez porty Thunderbolt oraz złośliwe oprogramowanie działające po zalogowaniu się użytkownika. Eksperci rekomendują uzupełnienie FDE o dodatkowe warstwy ochrony: silne uwierzytelnianie wieloskładnikowe, szyfrowanie na poziomie aplikacji dla danych szczególnie wrażliwych oraz narzędzia do wykrywania nieautoryzowanego dostępu do pamięci. FDE pozostaje ważne, ale nie może być jedyną linią obrony.
Źródło: CySecurity News [EN]
4. OSZUSTWA, SCAMY, EXPLOITY
Nowe szczegóły kampanii GlassWorm: złośliwe rozszerzenia VS Code ukryte w rejestrze Open VSX
Nowa analiza kampanii GlassWorm opublikowana przez CySecurity potwierdza i uzupełnia wcześniejsze doniesienia o ataku na rejestr rozszerzeń Open VSX. Badacze udokumentowali co najmniej 72 złośliwe rozszerzenia aktywne od początku 2026 roku, które podszywały się pod popularne narzędzia deweloperskie — w tym dodatki do asystentów AI i narzędzia do formatowania kodu. Kampania jest szczególnie podstępna, bo kradnie tokeny kryptowalutowe i dane uwierzytelniające, a zainfekowane systemy zamienia w proxy do dalszych działań przestępczych. Równolegle badacze z Aikido Labs udokumentowali analogiczną kampanię w 151 repozytoriach GitHub, gdzie złośliwy kod był wstrzykiwany przy użyciu niewidocznych znaków Unicode — niewidocznych dla oka, ale dekodujących się do załadowania malware. Programiści powinni traktować każde nowe lub zaktualizowane rozszerzenie z ostrożnością.
Źródło: CySecurity News [EN]
5. DEZINFORMACJA, CYBER WOJNA
Seria cyberataków w Iranie po wspólnym uderzeniu USA i Izraela na strategiczne cele
Po przeprowadzonej pod koniec lutego operacji „Epic Fury" — wspólnym uderzeniu militarnym USA i Izraela na irańską infrastrukturę — w samym Iranie odnotowano liczne cyberataki na tamtejsze systemy i infrastrukturę. Ataki dotknęły m.in. irańskie systemy łączności, obiekty energetyczne i portale rządowe. Niektóre działania są przypisywane grupom powiązanym z Izraelem i USA, choć autorstwo wielu incydentów pozostaje nieznane — w cyberwojnie przypisanie odpowiedzialności jest niezwykle trudne. Kontekst jest bezprecedensowy: Iran sam od lat jest aktywnym graczem w cyberprzestrzeni, a teraz mierzy się z atakami wymierzonymi w jego własną infrastrukturę cyfrową. Sytuacja pokazuje, że w erze cyberwojen zaatakowane państwo niekoniecznie dysponuje przewagą defensywną nawet na własnym terytorium.
Źródło: CySecurity News [EN]
Europa buduje zintegrowany system obrony przeciwlotniczej SkyDefender — z cyberbezpieczeństwem w centrum
Europejski program SkyDefender zakłada stworzenie zintegrowanej tarczy przeciwlotniczej dla kontynentu, w której cyberbezpieczeństwo odgrywa centralną rolę. W obliczu narastających zagrożeń hybrydowych — łączących ataki kinetyczne z cyberatakami na systemy C2 (command and control) — projektanci kładą szczególny nacisk na odporność systemów komunikacji i zarządzania ogniem na ingerencję cyfrową. Doświadczenia z konfliktu ukraińskiego i ataków na infrastrukturę AWS na Bliskim Wschodzie wyraźnie pokazują, że nowoczesne działania zbrojne zakładają jednoczesne uderzenie w fizyczną infrastrukturę i jej cyfrowe odpowiedniki. SkyDefender to jeden z projektów, które mają zmniejszyć fragmentaryzację europejskiej obrony przeciwlotniczej i wynikające z niej luki w cyberochronie systemów wojskowych.
Źródło: Chip.pl [PL]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 15 marca 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.