🔐 Cyber Security Daily News | 17.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Minister Cyfryzacji zaleca bezzwłoczną aktualizację Linuksa — CopyFail trafia do Katalogu KEV
Minister Cyfryzacji Krzysztof Gawkowski wydał oficjalną rekomendację dla polskich instytucji publicznych i prywatnych dotyczącą natychmiastowej aktualizacji systemów Linux w związku z podatnością CopyFail (CVE-2026-31431). CISA dodała lukę do katalogu KEV, potwierdzając aktywną eksploatację w realnych atakach. CRN.pl podkreśla, że komunikat ministerialny jest rzadkim krokiem — polskie władze nieczęsto wydają tak bezpośrednie rekomendacje techniczne. Luka umożliwia lokalną eskalację uprawnień do poziomu roota i jest exploitowalna na niemal wszystkich popularnych dystrybucjach wydanych po 2017 roku. Administratorzy, którzy jeszcze nie zaktualizowali kernela — powinni to zrobić natychmiast.
Źródło: CRN.pl [PL]
Instructure doszło do porozumienia z atakującymi — sprawa Canvas prawdopodobnie zamknięta
Platforma edukacyjna Instructure (Canvas) zawarła porozumienie ze sprawcami ataku, którzy skradli dane z 8 809 instytucji edukacyjnych i ponad 275 milionów rekordów. Według dostępnych informacji ShinyHunters otrzymali potwierdzenie zapłaty lub innej formy ugody w zamian za zobowiązanie do nieupubliczniania i usunięcia skradzionych danych. Eksperci ostrzegają jednak, że zaufanie gangowi cyberprzestępczemu do "usunięcia danych" jest naiwne — nikt nie może tego zweryfikować. Postawa Instructure jest krytykowana przez środowisko: ustępowanie grupom ransomware stymuluje kolejne ataki na sektor edukacyjny. Śledztwo prowadzone przez Kongres USA wobec firmy nadal trwa.
Źródło: CySecurity News [EN]
FTC egzekwuje Take It Down Act — pierwsze przypadki nakazów usuwania deepfake sextortion
Federalna Komisja Handlu (FTC) USA podjęła pierwsze działania egzekucyjne na podstawie nowej ustawy "Take It Down Act", zobowiązującej platformy do usuwania w ciągu 48 godzin deepfake'owych materiałów intymnych tworzonych bez zgody osoby przedstawionej. Ustawa — podpisana przez prezydenta Trumpa na początku roku — nakłada też obowiązek posiadania systemu zgłoszeniowego przez platformy. Deepfake sextortion dotknęło tysiące nastolatków w USA (i innych krajach), a szkoły masowo usuwają zdjęcia uczniów ze stron internetowych, by ograniczyć materiał do generowania fałszywych treści. To bezpośrednia odpowiedź legislacyjna na falę przestępstw, o której pisaliśmy w poprzednich wydaniach.
Źródło: CyberScoop [EN]
🚨 INCYDENTY
KAZUAR (Turla/FSB) ewoluuje w modularny botnet P2P — najtrudniejszy do wyłączenia z dotąd opisanych
BleepingComputer opisuje najnowszą ewolucję backdoora KAZUAR, narzędzia rosyjskiej grupy Turla powiązanej z FSB: malware stało się w pełni modularnym botnetem peer-to-peer, w którym każdy zainfekowany węzeł może być serwerem C2 dla innych. Oznacza to, że nawet jeśli organy ścigania "odetną" część sieci, pozostałe węzły automatycznie przejmują funkcje komunikacyjne. Microsoft opublikował szczegółową analizę techniczną opisującą mechanizmy trwałości, szyfrowania i rotacji komunikacji. Nowa architektura KAZUAR jest odpowiedzią na sukcesy FBI i Europolu w likwidacji tradycyjnych botnetów centralnie zarządzanych. Wskaźniki kompromitacji (IoC) są dostępne w raporcie Microsoft.
Źródło: BleepingComputer [EN]
Claw Chain — seria luk w serwerach OpenClaw AI umożliwia kradzież modeli i danych
Hackread opisuje "Claw Chain" — serię powiązanych podatności odkrytych w serwerach OpenClaw, popularnej platformie do hostowania modeli AI używanej przez startupy i organizacje badawcze. Luki tworzą łańcuch, który prowadzi od nieautoryzowanego dostępu do API do pełnej kradzieży hostowanych modeli i danych treningowych. Modele AI to coraz bardziej wartościowy zasób — miesięce i miliony dolarów inwestycji w trening można stracić przez jedną lukę w infrastrukturze. Incydent podkreśla, że bezpieczeństwo platform AI-serving jest zaniedbywane w porównaniu z bezpieczeństwem aplikacji webowych.
Źródło: Hackread [EN]
💡 CIEKAWOSTKI
Darmowa lekcja OPSEC od radnej PSL — prywatna wiadomość do Marszałka trafiła na publicznego Facebooka
Sekurak opisuje pouczający incydent: radna Rady Miejskiej reprezentująca PSL pomyliła pole "wiadomość prywatna" z polem publicznego posta na Facebooku i wysłała — publicznie — wiadomość zawierającą prośbę skierowaną do Marszałka, zdradzającą wewnętrzne ustalenia polityczne. Wiadomość była chwilę dostępna publicznie zanim ją usunięto, ale zdążyła zostać zrzutowana. Sekurak wykorzystuje tę historię jako ilustrację fundamentalnej zasady OPSEC (bezpieczeństwo operacyjne): nawet bez zaawansowanych narzędzi szpiegowskich, ludzkie błędy w obsłudze platform społecznościowych mogą ujawnić wrażliwe informacje. Lekcja dotyczy każdego — nie tylko polityków.
Źródło: Sekurak [PL]
Demagog: trzy narzędzia rosyjskiej dezinformacji — jak Doppelganger, Storm-1516 i "sobowtór" zalewają internet
Demagog opublikował obszerną analizę opisującą trzy główne "zestawy narzędzi" rosyjskiej dezinformacji. Doppelganger (związany z firmami SDA, Structura i Argon Labs) tworzy fałszywe kopie znanych mediów — artykuły na stronie imitującej Politykę, Le Monde czy Der Spiegel mówią zupełnie co innego niż oryginały. Storm-1516 produkuje fałszywe materiały wideo z deepfake'ami — np. rzekome wywiady z politykami. Trzeci "sobowtór" skupia się na przejmowaniu tożsamości prawdziwych dziennikarzy lub aktywistów w mediach społecznościowych. Kluczowa postać: John Mark Dougan — były amerykański policjant mieszkający w Moskwie, tworzący dziesiątki pozornie lokalnych portali informacyjnych. Każdy z tych zestawów jest precyzyjnie zaprojektowany i powtarzalny jak fabryczna linia produkcyjna.
Źródło: Demagog.pl [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
CERT Orange: klienci Erste Banku na celowniku — nowa kampania phishingowa
CERT Orange ostrzega przed aktywną kampanią phishingową wymierzoną w klientów Erste Banku (obsługującego w Polsce aplikację George). Ofiary otrzymują SMS-y lub e-maile z informacją o "ważnej weryfikacji konta" lub "zablokowanej transakcji" z linkiem prowadzącym na stronę imitującą interfejs George. Na fałszywej stronie wyłudzane są dane logowania i kod SMS 2FA. Erste Bank nigdy nie prosi przez e-mail lub SMS o pełne dane logowania. Wszelkie powiadomienia o transakcjach należy weryfikować wyłącznie przez oficjalną aplikację George zainstalowaną ze sklepu.
Źródło: Dobreprogramy [PL]
Porada CBZC: przerwij rozmowę i zaczekaj 30 sekund — prosta technika, która ratuje konta
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) opublikowało prostą, ale wyjątkowo skuteczną wskazówkę dotyczącą ochrony przed vishingiem: jeśli odbierzesz podejrzany telefon od "policjanta", "pracownika banku" lub "urzędnika", rozłącz się — i przed oddzwonieniem zaczekaj co najmniej 30 sekund. To czas potrzebny, by upewnić się, że przestępca "nie trzyma" linii telefonicznej otwartej, symulując rozłączenie. Oszuści stosują technikę "call holding": ofiara "rozłącza się", ale linia pozostaje aktywna — i gdy "oddzwoni na infolinię banku", nadal rozmawia z przestępcą. 30-sekundowa przerwa i samodzielne wybranie numeru z oficjalnej strony banku eliminuje ten schemat całkowicie.
Źródło: Dobreprogramy [PL]
Geopolityczne turbulencje jako idealny moment dla oszustów — jak nie dać się nabrać w czasie kryzysu
WeLiveSecurity (ESET) opisuje wzorzec zaobserwowany w ostatnich miesiącach: każda eskalacja napięć geopolitycznych (nowe sankcje, konflikty zbrojne, kryzys dyplomatyczny) natychmiast uruchamia falę fałszywych zbiórek charytatywnych, ofert "bezpiecznych inwestycji" i "pilnych wiadomości" dotyczących zakładania kont w bezpiecznych walutach. Przestępcy perfekcyjnie wyczuwają moment, gdy emocje są silniejsze od rozsądku, i kiedy ludzie mają wzmożoną potrzebę "działania". Przed każdą donacją do nieznanej organizacji warto sprawdzić ją w KRS lub na platformach weryfikacyjnych takich jak Guidestar czy Charity Navigator.
Źródło: WeLiveSecurity (ESET) [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
CyberDefence24: pamięć historyczna jako narzędzie władzy, tożsamości i wpływu — nowy CyberMagazyn
Najnowszy CyberMagazyn CD24 poświęcony jest mniej technicznej, lecz równie istotnej warstwie bezpieczeństwa informacyjnego: polityce historycznej jako instrumentowi kształtowania tożsamości i wywoływania napięć. Rosja od lat instrumentalizuje narracje historyczne — fałszywe informacje o II wojnie światowej, "historyczne" pretensje terytorialne i budowa alternatywnych wersji przeszłości — by osłabiać spójność sojuszy zachodnich i legitymizować agresję. Artykuł analizuje, w jaki sposób państwa autorytarne łączą cyberwojnę z wojną o pamięć zbiorową, tworząc wielowarstwowe operacje wpływu trudne do zidentyfikowania i neutralizacji.
Źródło: CyberDefence24 [PL]
Nowa analiza FAST16: przed Stuxnetem był sabotaż nuklearny — czy to samo złośliwe oprogramowanie?
Security.com opublikowało pogłębioną analizę wskazującą, że złośliwe oprogramowanie FAST16 — działające przed Stuxnetem — mogło być bezpośrednio zaangażowane w sabotaż irańskiego programu nuklearnego, a nie tylko w ataki na przemysłowe oprogramowanie inżynieryjne, jak sądzono wcześniej. Nowe ustalenia dotyczące sygnatur kodu i celów sugerują, że FAST16 i Stuxnet mogły być elementami tej samej, wieloetapowej operacji, przypisywanej USA i Izraelowi. To fundamentalnie zmienia zrozumienie historii cybersabotażu infrastruktury krytycznej i sugeruje, że zachodnie operacje cybernetyczne przeciwko Iranowi miały jeszcze głębsze korzenie niż wcześniej dokumentowano.
Źródło: Security.com [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 16 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.