🔐 Cyber Security Daily News | 18.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Pwn2Own Berlin 2026 — wyniki końcowe: $1,3 mln nagród, DEVCORE mistrzem turnieju
Zakończył się Pwn2Own Berlin 2026 — jeden z prestiżowych turniejów hakerskich roku. Łączna pula nagród wyniosła 1 298 000 dolarów za zademonstrowanie 26 unikalnych podatności zero-day w ciągu trzech dni. Mistrzostwo turnieju (tytuł "Master of Pwn") zdobyła tajwańska firma DEVCORE, zdobywając najwyższą liczbę punktów. Zhakowano systemy Windows 11, Microsoft Exchange, Red Hat Enterprise Linux i inne oprogramowanie klasy enterprise. Wszystkie 26 demonstrowanych podatności trafiło do producentów — mają 90 dni na przygotowanie łatek, po czym zostaną publicznie ujawnione. Organizator Trend Micro przekroczył łączną kwotę miliona dolarów wypłaconych nagród na Pwn2Own po raz kolejny z rzędu, co wskazuje na rosnącą "wartość rynkową" luk w popularnym oprogramowaniu.
Źródło: Security Affairs [EN]
Microsoft odrzuca zgłoszenie krytycznej luki w Azure — bez CVE, bez łatki, bez komunikatu
Badacz bezpieczeństwa zgłosił Microsoftowi krytyczną podatność w infrastrukturze Azure, która jego zdaniem umożliwiała nieuprawniony dostęp do zasobów innych klientów w środowisku wielodostępnym (multi-tenant). Microsoft przeanalizował zgłoszenie i odrzucił je — twierdząc, że opisane zachowanie jest "zgodne z projektem" i nie kwalifikuje się jako podatność wymagająca CVE ani publicznego komunikatu. Badacz i środowisko bezpieczeństwa są oburzeni tą decyzją: luka dotykała potencjalnie tysięcy organizacji korzystających z Azure, a brak CVE oznacza, że żaden system zarządzania podatnościami nie oznaczy zagrożenia. To niepokojący precedens — sami klienci chmury nie wiedzą, czy ich dane były narażone.
Źródło: BleepingComputer [EN], Telepolis [PL]
Estonia wprowadza AI jako obowiązkowy element programu nauczania — modelowe rozwiązanie dla Europy
Estonia stała się pierwszym krajem UE, który formalnie włączył edukację o sztucznej inteligencji do obowiązkowego programu nauczania na poziomie szkoły podstawowej, średniej i wyższej. Reforma obejmuje zarówno umiejętności praktyczne (korzystanie z narzędzi AI) jak i krytyczne (rozumienie ograniczeń, ryzyk i etyki AI). Estońskie Ministerstwo Edukacji podkreśla, że celem jest przygotowanie obywateli do życia w świecie, w którym AI jest wszechobecna — nie tylko jako konsumentów, ale twórców i regulatorów technologii. Estonia jest od lat liderem cyfrowej transformacji w Europie. Polskie władze oświatowe obserwują ten eksperyment z zainteresowaniem — dyskusja o obowiązkowej edukacji AI w Polsce trwa od 2024 roku.
Źródło: Instalki.pl [PL]
🚨 INCYDENTY
Grafana — skradziono kod źródłowy przez przejęty token GitHub, firma odmawia zapłaty ocupu
Grafana Labs, producent popularnej platformy do wizualizacji danych i monitoringu używanej przez tysiące organizacji na całym świecie, ujawnił, że nieznani sprawcy uzyskali dostęp do repozytorium kodu źródłowego przez przejęty osobisty token dostępu GitHub. Firma zidentyfikowała i unieważniła skompromitowany token, oceniła zakres wycieku i — co istotne — wprost odmówiła zapłaty żądanego ocupu za skradziony kod. Grafana jest narzędziem krytycznym w wielu środowiskach produkcyjnych i DevOps; dostęp do kodu źródłowego może ułatwić znajdowanie nowych luk. Atak jest prawdopodobnie powiązany z serią naruszeń infrastruktury deweloperskiej przez grupę TeamPCP.
Źródło: Hackread [EN], The Hacker News [EN]
Funnel Builder — wtyczka WooCommerce aktywnie eksploitowana do wstrzykiwania skimmerów kart
Badacze odkryli, że hakerzy aktywnie eksploitują podatność w popularnej wtyczce "Funnel Builder for WooCommerce", instalując skimmery kart płatniczych bezpośrednio na stronach sklepów e-commerce. Skimmer działa niewidocznie w tle: przechwytuje dane wprowadzane przez klientów w formularzach płatności i wysyła je na serwery przestępców — a transakcja wciąż przebiega normalnie, więc zarówno sklep, jak i klient nie zauważają incydentu. Wtyczka jest używana przez tysiące sklepów internetowych w Polsce i na świecie. Administratorzy sklepów WooCommerce powinni niezwłocznie zaktualizować tę wtyczkę i sprawdzić logi serwera pod kątem anomalii.
Źródło: Security Affairs [EN], Security Bez Tabu [PL]
Ledger — posiadacze portfeli krypto dostają fizyczne listy phishingowe z prośbą o seed phrase
Hackread opisuje nową, niepokojącą kampanię wymierzoną w posiadaczy sprzętowych portfeli kryptowalutowych Ledger: do klientów docierają fizyczne listy pocztowe wydrukowane na papierze firmowym imitującym Ledger, informujące o "aktualizacji zabezpieczeń" wymagającej "weryfikacji urządzenia" przez podanie 24-wyrazowej frazy odtworzeniowej (seed phrase) przez stronę internetową. Seed phrase to jedyny klucz dostępu do wszystkich środków w portfelu — ktokolwiek ją zna, ma pełną kontrolę nad kryptowalutami. Atak działa, bo omija filtry e-mailowe i wzbudza większe zaufanie niż cyfrowe phishing. Ledger NIGDY nie prosi o seed phrase — ani elektronicznie, ani pocztą tradycyjną.
Źródło: Hackread [EN]
💡 CIEKAWOSTKI
Niebezpiecznik wyjaśnia: "Zwrot przelewu BLIK" to prawie zawsze pomyłka, nie próba oszustwa
Niebezpiecznik rozwiewia mit, który szerzy się w polskim internecie: wielu użytkowników twierdzi, że ktoś, kto prosi ich o zwrot niespodziewanego przelewu BLIK, próbuje ich oszukać. Analiza redakcji dowodzi, że schemat domniemanego ataku (ktoś wysyła pieniądze na obcy numer, żeby użyć go jako pośrednika w przekręcie) nie ma ekonomicznego sensu — organy ścigania zawsze poznają pierwotne źródło przelewu, więc żaden złodziej nie komplikowałby sobie życia dodatkowym pośrednikiem. Niemal we wszystkich zgłoszonych przypadkach była to zwykła pomyłka w numerze. Redakcja wzywa do spokoju: jeśli dostałeś taki przelew — po prostu skontaktuj się z nadawcą przez bank i odsyłaj środki standardową ścieżką.
Źródło: Niebezpiecznik [PL]
OKO.press: nie ma bezpiecznego sposobu na weryfikację wieku dzieci w social mediach
OKO.press analizuje debatę toczącą się w Polsce i Europie o metodach weryfikacji wieku dzieci w social mediach. Wnioski są niepokojące: każda dotychczas zaproponowana metoda ma poważne wady. Dowód osobisty przy rejestracji? Narusza prywatność dorosłych. Biometria twarzy lub tęczówki? Worries o masowe zbieranie danych biometrycznych (w tym znane obejście poprzez "sztuczne wąsy"). Weryfikacja przez rodziców? Łatwa do obejścia. Weryfikacja przez operatora komórkowego? Wyklucza wiele osób. Każde rozwiązanie albo tworzy nowe ryzyka prywatności, albo jest trywialne do ominięcia przez nastolatka z dostępem do YouTube'a. Artykuł podkreśla, że sam problem weryfikacji wieku jest symptomem głębszego braku konsensusu w polityce regulacyjnej.
Źródło: OKO.press [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Operation HumanitarianBait — fałszywe dokumenty pomocy humanitarnej z Python spyware
Hackread opisuje "Operation HumanitarianBait" — cyberoperację, w której sprawcy rozsyłają dokumenty podszywające się pod materiały dotyczące pomocy humanitarnej (formularze wnioskowe, listy dystrybucyjne, instrukcje logistyczne), które po otwarciu instalują złośliwe oprogramowanie napisane w Pythonie. Kampania celuje prawdopodobnie w organizacje pomocowe, pracowników rządowych i wojsko krajów zaangażowanych w pomoc dla Ukrainy. Spear-phishing z motywem humanitarnym jest szczególnie skuteczny, bo ofiary spodziewają się takich dokumentów w kontekście swojej pracy. Operacja nie jest jeszcze przypisana konkretnej grupie APT.
Źródło: Hackread [EN]
Windows 11 działa na kodzie sprzed 30 lat — dyrektor Microsoftu ujawnia techniczny dług
Instalki.pl opisuje szczere wyznanie dyrektora inżynieryjnego Microsoftu: Windows 11 zawiera komponenty — w tym fragmenty jądra systemu i systemu plików — napisane w latach 90. XX wieku, które nigdy nie zostały fundamentalnie przepisane. Techniczny dług tego rodzaju ma poważne konsekwencje dla bezpieczeństwa: stary kod był pisany w innej epoce, przed rozwojem nowoczesnych technik bezpiecznego programowania, bez uwzględnienia dzisiejszego krajobrazu zagrożeń. Wiele współczesnych luk w Windowsie wynika właśnie z archaicznych założeń architektonicznych. Dyrektor przyznał, że Microsoft od lat debatuje nad "wielkim przepisaniem", ale skala projektu jest przytłaczająca.
Źródło: Instalki.pl [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Polska notuje rekordową liczbę spraw szpiegowskich — 47 oskarżeń o szpiegostwo na rzecz Rosji
France24 cytuje raport Ukraińskiego Wywiadu Zagranicznego wskazujący, że Polska odnotowała aż 47 przypadków oskarżeń o szpiegostwo na rzecz Rosji — więcej niż Estonia (20), Łotwa (19), Niemcy (12) i Wielka Brytania (10). Łącznie w 12 krajach europejskich zidentyfikowano 130 osób podejrzanych o współpracę z Kremlem. Rosyjskie służby, po utracie sieci dyplomatycznej (wydaleniu setek dyplomatów-szpiegów po 2022 roku), przestawiły się na rekrutację "agentów jednorazowego użytku" spośród cywilów — Ukraińców, Białorusinów i obywateli krajów docelowych. Zadania obejmują zbieranie informacji wywiadowczych, monitorowanie transportów wojskowych i akty sabotażu.
Źródło: France24 [EN]
Storm-1516 — nowa kampania dezinformacyjna po wyborach: deepfake'i i fałszywe newsy w Polsce
SprawdzamTo.pl (inicjatywa mediów publicznych weryfikująca dezinformację) opisuje nową aktywność grupy Storm-1516 — rosyjskiej operacji dezinformacyjnej produkującej deepfake'i wideo i fałszywe materiały "dziennikarskie". Kampania powróciła z nową siłą po polskich wyborach i atakuje polskich polityków oraz relacje polsko-ukraińskie. Stosowane techniki to m.in. deepfake'owe "wywiady" z politykami, fałszywe "przecieki" dokumentów rządowych i koordynowane sieci kont amplifikujące te treści. SprawdzamTo.pl pokazuje narzędzia do weryfikacji — odwrotne wyszukiwanie obrazów, analiza metadanych wideo i sprawdzanie źródeł pierwotnych — które każdy może stosować samodzielnie.
Źródło: SprawdzamTo.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 17 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.