🔐 Cyber Security Daily News | 16.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Microsoft Exchange Server zero-day CVE-2026-42897 — XSS w OWA aktywnie exploitowany, bez łatki
Zaledwie 48 godzin po Patch Tuesday dla maja 2026 Microsoft ujawnił nową krytyczną podatność zero-day: CVE-2026-42897 (CVSS 8.1) w serwerze Exchange dotyczy modułu Outlook Web Access i jest aktywnie wykorzystywana przez atakujących. Luka wynika z braku sanityzacji danych wejściowych w OWA (cross-site scripting) — atakujący wysyła specjalnie spreparowany e-mail, który po otwarciu w przeglądarce ofiary uruchamia dowolny JavaScript w kontekście jej sesji. Dotyczy wyłącznie instalacji on-premises (Exchange 2016, 2019, Subscription Edition) — Exchange Online nie jest narażony. Stała łatka nie jest jeszcze dostępna; tymczasowe zabezpieczenie wdraża Exchange Emergency Mitigation Service (EEMS), który jest domyślnie włączony — administratorzy powinni upewnić się, że EEMS działa i wyświetla status "Applied". Sekurak przetłumaczył techniczne szczegóły na język polski.
Źródło: SecurityWeek [EN], BleepingComputer [EN], Sekurak [PL]
Polska uchwalila ustawę o kryptowalutach. To kolejne podejście do wdrożenia unijnych przepisów
Sejm RP uchwalił rządowy projekt ustawy implementujący unijne rozporządzenie MiCA (Markets in Crypto-Assets) do polskiego porządku prawnego. Ustawa nakłada na giełdy kryptowalutowe i inne dostawcy usług kryptoaktywów obowiązek rejestracji i spełnienia wymogów compliance — w tym dotyczących przeciwdziałania praniu pieniędzy, wymogów kapitałowych i transparentności. Termin na dostosowanie się do nowych przepisów wynosi kilka miesięcy. Dla branży kryptowalutowej w Polsce to przełomowa zmiana — po raz pierwszy sektor zyska jasne ramy regulacyjne, co jednocześnie wyeliminuje szarą strefę operatorów. Kontekst: afera Zondacrypto, o której pisaliśmy wcześniej, z pewnością przyspieszyła tempo prac legislacyjnych.
Źródło: CyberDefence24 [PL]
TanStack supply chain: OpenAI potwierdza, że dwóch pracowników zainfekowano podmienioną biblioteką npm
OpenAI oficjalnie potwierdziło, że dwóch jego pracowników-deweloperów padło ofiarą ataku supply chain przez podmienioną bibliotekę TanStack w rejestrze npm. Złośliwa wersja paczki była dostępna przez kilka godzin i zawierała kod wykradający zmienne środowiskowe, sekrety CI/CD i tokeny uwierzytelniające z maszyn deweloperskich. OpenAI szybko zareagowało i zresetowało dotknięte poświadczenia — nie stwierdzono dostępu do modeli, danych treningowych ani danych klientów. Atak jest powiązany z kampanią grupy TeamPCP, odpowiedzialnej za wcześniejsze włamania na Checkmarx, Bitwarden CLI i paczki npm TanStack/Mistral. To wyraźny sygnał: nawet firmy technologiczne pierwszego rzutu są podatne na ataki supply chain.
Źródło: The Register [EN], SecurityWeek [EN], Sekurak [PL]
🚨 INCYDENTY
Włamanie na skrzynkę e-mail polskiej kliniki medycznej — zagrożone dane pacjentów
Kolejna polska placówka medyczna informuje o naruszeniu bezpieczeństwa: prywatna klinika medyczna zgłosiła nieautoryzowany dostęp do firmowej skrzynki e-mail, przez co mogły wyciec dane osobowe i medyczne pacjentów. Klinika powiadomiła Urząd Ochrony Danych Osobowych i wdrożyła środki zaradcze. Dane medyczne — diagnozy, wyniki badań, historia leczenia — są wyjątkowo wrażliwą kategorią, a ich ujawnienie może nieść dla pacjentów poważne konsekwencje (dyskryminacja ubezpieczeniowa, szantaż, wyłudzenia). To kolejny po Optimed incydent polskiej placówki medycznej w ciągu dwóch tygodni. Sektor ochrony zdrowia jest systematycznie niedoinwestowany pod kątem bezpieczeństwa IT.
Źródło: CyberDefence24 [PL]
Pwn2Own Berlin — Dzień 2: Exchange, Red Hat Linux i kolejne systemy pada
Drugi dzień zawodów Pwn2Own Berlin 2026 przyniósł kolejną falę demonstracji podatności zero-day: badacze bezpieczeństwa pomyślnie zhackowali Microsoft Exchange Server (niezależnie od wcześniej ujawnionego CVE-2026-42897), Red Hat Enterprise Linux oraz kolejne komponenty Windows 11. Łączna pula nagród po dwóch dniach przekroczyła 600 000 dolarów. Wszystkie zademonstrowane podatności są zgłaszane producentom — mają oni 90 dni na wydanie łatek. Pwn2Own działa jako swoisty "barometr bezpieczeństwa": skumulowanie sukcesów hakerów na tak wielu platformach jednocześnie sygnalizuje intensywny sezon łatania w nadchodzących tygodniach.
Źródło: BleepingComputer [EN]
node-ipc — popularny pakiet npm z 20 milionami pobrań tygodniowo skompromitowany
Biblioteka node-ipc — szeroko używana w ekosystemie JavaScript/Node.js do komunikacji między procesami — została skompromitowana, a złośliwa wersja przez pewien czas dystrybuowała kod wykradający dane uwierzytelniające. Biblioteka jest zależnością dziesiątek tysięcy projektów i aplikacji webowych. Wiele systemów automatycznej aktualizacji zależności mogło nieświadomie pobrać złośliwą wersję. Deweloperzy korzystający z node-ipc powinni sprawdzić wersję zainstalowaną w swoich projektach i zweryfikować integralność środowisk. To kolejny atak na ekosystem npm — po TanStack, Mistral i Axios z ostatnich tygodni.
Źródło: BleepingComputer [EN]
💡 CIEKAWOSTKI
Vibe Chaos — badacz znalazł dziury w platformie AI do tworzenia aplikacji bez kodu (Lovable)
Sekurak opisuje "Vibe Chaos" — termin ukuty przez badacza bezpieczeństwa, który zgłosił szereg podatności do platformy Lovable, jednego z popularnych narzędzi "vibe coding" umożliwiających tworzenie aplikacji webowych bez znajomości programowania, wyłącznie przez dialog z AI. Znalezione luki pozwalały m.in. na podejrzenie konfiguracji i sekretów aplikacji innych użytkowników. To istotna przestroga: platformy AI-assisted development obniżają próg tworzenia aplikacji, ale jednocześnie mogą tworzyć aplikacje z błędami bezpieczeństwa, których twórcy nie są w stanie zidentyfikować — bo nie rozumieją kodu. Bezpieczeństwo "vibe coded" aplikacji to rosnący problem branży.
Źródło: Sekurak [PL]
YellowKey i GreenPlasma — dwaj nowi poszukiwani: kolejne zero-daye w Windows
Security Affairs informuje o ujawnieniu przez badaczy dwóch nowych podatności zero-day w systemie Windows, nazwanym YellowKey i GreenPlasma. Obie umożliwiają różne formy eskalacji uprawnień lub ominięcia mechanizmów ochronnych. Tygodnie maj-czerwiec 2026 stają się rekordowo aktywne pod kątem ujawniania podatności w Windows — po BitLocker zero-day i luce Patch Tuesday mamy kolejne przypadki. Dla administratorów systemów: śledzenie kanałów CISA KEV i Microsoft MSRC jest w tym okresie absolutnym obowiązkiem, bo okno od ujawnienia do eksploitacji znacząco się skróciło.
Źródło: Security Affairs [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Przestępcy podszywają się pod ukraińskie służby — nowa kampania wyłudzeń w Polsce
CyberDefence24 ostrzega przed nową kampanią przestępczą, w której sprawcy podszywają się pod ukraińskie służby specjalne lub policję i kontaktują się z obywatelami (głównie w Polsce) pod różnymi pretekstami — rzekomym zamieszaniem ich w przestępstwa lub możliwością odzyskania skradzionych środków. Technika jest zbliżona do klasycznego vishingu "na policjanta" lub "na prokuratora", ale wzbogacona o ukraiński kontekst, który może dezorientować ofiary. Pamiętaj: żadna służba — polska ani ukraińska — nie żąda przez telefon przelewów ani danych kart.
Źródło: CyberDefence24 [PL]
CERT Polska: fałszywa prośba o wycenę — oferta w mailu to RAT, nie zamówienie
CERT Polska ostrzega przed kampanią phishingową wymierzoną w firmy: przestępcy wysyłają e-maile z pozornie profesjonalną prośbą o wycenę produktów lub usług, zawierające załącznik "specyfikacja zamówienia". Po otwarciu dokumentu instalowane jest złośliwe oprogramowanie dające atakującym zdalny dostęp do komputera (Remote Access Trojan). Kampania celuje w księgowych, handlowców i pracowników obsługi klienta — osoby, które regularnie otrzymują prawdziwe zapytania ofertowe i mogą nie podejrzewać zagrożenia. Ważne pytanie przed otwarciem każdego załącznika: czy znam tego nadawcę i czy zamawiałem kontakt?
Źródło: CERT Polska [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Rosja i jej służby korzystają z ChatGPT — AI jako narzędzie operacji informacyjnych
Benchmark.pl opisuje raport wskazujący, że rosyjskie służby wywiadowcze i grupy wpływu aktywnie wykorzystują ChatGPT i inne komercyjne modele językowe do tworzenia materiałów dezinformacyjnych, generowania propagandowych treści i automatyzacji kampanii wpływu. Użycie komercyjnego AI obniża koszty i zwiększa skalę operacji — setki tysiąca unikalnych, wiarygodnie brzmiących postów i komentarzy można wygenerować automatycznie. To odwrotność założeń twórców modeli językowych, którzy wdrożyli zabezpieczenia przed tworzeniem szkodliwych treści — praktyka pokazuje, że omijanie tych zabezpieczeń jest możliwe przy odpowiednim sprytnym promptowaniu.
Źródło: Benchmark.pl [PL]
Pentagon i AI w rewolucji cybernetycznej — jak Mythos i nowe modele AI zmieniają doktrynę wojskową
CyberScoop analizuje, jak pojawienie się narzędzi takich jak Mythos (Anthropic) i Daybreak (OpenAI) — modeli AI do ofensywnego security research — zmienia kalkulacje strategiczne Departamentu Obrony USA. Zdolność AI do samodzielnego znajdowania i eksploitowania podatności przekształca cyberwojnę z dyscypliny wymagającej wysoko wykwalifikowanych specjalistów w potencjalnie skalowalną operację. Pentagonowi zależy, by zachodnie służby miały dostęp do takich narzędzi wcześniej niż przeciwnicy — stąd kontrakty z firmami technologicznymi opisywane w poprzednich wydaniach. Dla ekspertów ds. bezpieczeństwa to sygnał: era, gdy ludzki haker był niezastąpiony, dobiega końca.
Źródło: CyberScoop [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 15 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.