🔐 Cyber Security Daily News | 19.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Polska nakazuje urzędnikom porzucenie Signala — rząd buduje własny szyfrowany komunikator
The Register informuje: polskie władze oficjalnie poleciły urzędnikom administracji rządowej zaprzestanie używania Signala i przestawienie się na krajowo rozwinięty, rządowy komunikator szyfrowany. Decyzja jest bezpośrednią odpowiedzią na rosnące liczby udanych ataków socjotechnicznych wymierzonych w wyższych rangą pracowników rządu. Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał w tym tygodniu rekomendacje wskazujące, że podejrzane kampanie phishingowe na Signal zagrażają bezpieczeństwu komunikacji na poziomie strategicznym. Rządowy alternatywny komunikator ma być rozwijany przy zachowaniu pełnej suwerenności nad kodem i infrastrukturą — w odróżnieniu od mSzyfr, którego "polskie" korzenie wzbudzały wątpliwości badaczy. To znacząca zmiana w polskiej polityce bezpieczeństwa komunikacyjnego.
Źródło: The Register [EN], CyberDefence24 [PL]
CERT Polska — raport za kwiecień 2026: wzrost kampanii phishingowych i ataków supply chain
CERT Polska opublikował miesięczny raport o stanie cyberbezpieczeństwa w Polsce za kwiecień 2026. Dokument rejestruje intensywną aktywność phishingową w tygodniu po majówce — tysiące fałszywych SMS-ów i e-maili podszywających się pod banki, urzędy i platformy zakupowe. Kwiecień był miesiącem o wyjątkowo wysokiej aktywności ataków na łańcuchy dostaw oprogramowania, które bezpośrednio dotknęły polskie organizacje. CERT zwraca też uwagę na narastający trend kampanii smishingowych związanych z motywem "mandatu" i podszywania się pod mObywatela. Raport zawiera pełne statystyki, wskaźniki kompromitacji (IoC) i zalecenia dla administratorów. Wszystkie wydania raportów miesięcznych dostępne są na portalu moje.cert.pl.
Źródło: CERT Polska / moje.cert.pl [PL]
Bank of England, FCA i UK Treasury biją na alarm — AI w finansach stwarza systemowe ryzyko
Wspólny alert trzech kluczowych instytucji finansowych Wielkiej Brytanii (Bank of England, Urząd Finansowy FCA i Ministerstwo Skarbu) ostrzega: gwałtowna adopcja AI w sektorze finansowym przebiega znacznie szybciej niż zdolność instytucji do zrozumienia i kontrolowania ryzyka, jakie ona niesie. Szczególne obawy dotyczą koncentracji — kilka firm AI dostarcza modele używane jednocześnie przez setki instytucji finansowych, co tworzy ryzyko systemowe: awaria lub atak na jednego dostawcę AI może dotknąć cały system finansowy jednocześnie. Alert wskazuje też na ryzyko manipulowania modelami AI przez aktorów państwowych i przestępcze grupy szukające luk w automatycznych systemach decyzyjnych.
Źródło: Infosecurity Magazine [EN]
🚨 INCYDENTY
DirtyDecrypt — nowa luka Linux root z publicznym PoC, już czwarta eskalacja uprawnień w maju 2026
BleepingComputer opisuje nową lukę eskalacji uprawnień w jądrze Linux, nazwaną DirtyDecrypt, z dostępnym publicznym exploitem PoC dającym atakującemu dostęp do poziomu roota. To już czwarta poważna luka LPE w Linuksie ujawniona w ciągu zaledwie 3 tygodni — po CopyFail (CVE-2026-31431), Dirty Frag i Fragnesia (CVE-2026-46300). Seria odkryć sugeruje intensywną działalność badaczy (i atakujących) w obszarze jądra Linuksa. Każda z tych luk wymaga posiadania konta na systemie — nie są to podatności zdalne. Jednak w środowiskach wieloużytkownikowych (serwery VPS, środowiska CI/CD, kontenery z nieizolowanymi kernelami) dają atakującemu pełną kontrolę nad maszyną hosta.
Źródło: BleepingComputer [EN]
7-Eleven — ShinyHunters potwierdzają kradzież danych klientów i żądają okupu
SecurityWeek potwierdza: ShinyHunters, znana z głośnych wycieków w 2026 roku (Medtronic, Udemy, Zara, Vimeo), tym razem uderzyła w globalną sieć sklepów 7-Eleven. Hakerzy opublikowali próbkę danych i wysłali żądanie finansowe do firmy. 7-Eleven potwierdziło prowadzenie śledztwa. Sieć sklepów convenience operuje dziesiątkami tysięcy punktów i systemami lojalnościowymi zbierającymi dane milionów klientów. To kolejne uderzenie z długiej serii ataków ShinyHunters w 2026 roku — grupa konsekwentnie atakuje sektor handlowy, edukacyjny i medyczny.
Źródło: SecurityWeek [EN]
Grodzki Urząd Pracy w Krakowie — dane klientów były dostępne bez autoryzacji
Grodzki Urząd Pracy w Krakowie poinformował o incydencie bezpieczeństwa: dane niektórych klientów urzędu były przez pewien czas dostępne dla osób nieuprawnionych. Incydent zgłosił podmiot zewnętrzny, który odkrył możliwość dostępu. Urząd powiadomił UODO i podjął działania naprawcze. Zakres potencjalnie narażonych danych obejmuje dane osobowe osób zarejestrowanych jako bezrobotne i poszukujące pracy — a więc szczególnie wrażliwą kategorię. To kolejny incydent bezpieczeństwa w polskiej administracji samorządowej w ostatnich tygodniach, sygnalizujący systemowe problemy z zabezpieczeniami systemów IT w urzędach.
Źródło: CyberDefence24 [PL]
💡 CIEKAWOSTKI
Linus Torvalds: AI-powered bug hunters sparaliżowały listę bezpieczeństwa Linux — "niemal niemożliwa do zarządzania"
The Register opisuje bezprecedensowe oświadczenie Linusa Torvaldsa: twórca Linuksa przyznał, że lista mailingowa ds. bezpieczeństwa kernela Linux stała się "niemal niemożliwa do zarządzania" z powodu masowego napływu zgłoszeń generowanych przez narzędzia AI — takie jak Mythos i inne modele do skanowania kodu pod kątem podatności. Narzędzia AI generują tysiące potencjalnych podatności, z których większość to fałszywe alarmy lub błędy o minimalnym znaczeniu bezpieczeństwa. Maintainerzy jądra — wolontariusze — są przytłoczeni ilością zgłoszeń i tracą zdolność do rozróżnienia poważnych problemów od szumu. To nieoczekiwany efekt uboczny rewolucji AI w security: zamiast ułatwiać pracę obrońców, narzędzia AI mogą paradoksalnie spowalniać reakcję na realne zagrożenia.
Źródło: The Register [EN]
CERT Orange: Krajobraz zagrożeń 18 maja 2026 — aktywne kampanie i nowe wektory
CERT Orange Polska opublikował tygodniowy raport "Krajobraz zagrożeń" z datą 18 maja 2026, dokumentujący aktywne kampanie obserwowane w polskiej sieci. Raport obejmuje m.in. opis najnowszych kampanii phishingowych, aktywnych botnetów i zagrożeń dla użytkowników indywidualnych i biznesowych w Polsce. CERT Orange regularnie wydaje te raporty jako cenne uzupełnienie danych CERT Polska — obserwuje ruch w sieci jednego z największych polskich operatorów telekomowo-internetowych, co daje unikalne dane o zagrożeniach celujących w polskich użytkowników.
Źródło: CERT Orange [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Sekurak: fałszywe alerty Meta — Netlify, Vercel i Canva jako wiarygodna okładka dla phishingu
Sekurak opisuje wyrafinowaną kampanię phishingową odkrytą przez badaczy Guardio: przestępcy rozsyłają do właścicieli kont Facebook Business alerty o rzekomym naruszeniu polityki, zawieszeniu konta lub niebezpiecznej aktywności. Maile brzmią w 100% wiarygodnie — i są technicznie wysyłane przez zaufaną infrastrukturę (Netlify, Vercel, Canva, AppSheet). Mechanizm: atakujący tworzą formularz lub stronę na tych platformach i przekierowują przez nie phishingowy ruch — e-maile dosłownie przychodzą z domen @netlify.com lub @canva.com. Filtry antyspamowe przepuszczają je bez problemów. Ofiara, myśląc, że odpowiada na alert od Mety, podaje dane logowania do Facebooka na spreparowanej stronie.
Źródło: Sekurak [PL]
Telepolis: 42-letnia mieszkanka Zabrza straciła 6800 zł przez jeden kod BLIK
Telepolis opisuje przypadek 42-letniej kobiety z Zabrza, która straciła 6800 zł wskutek klasycznego oszustwa telefonicznego z kodem BLIK. Przestępca zadzwonił, podając się za pracownika banku, i poinformował o rzekomej podejrzanej aktywności na koncie ofiary. Kobieta, przekonana, że pomaga "zablokować nieautoryzowaną transakcję", wygenerowała kod BLIK i zatwierdziła operację na prośbę rozmówcy. Pieniądze w jednej chwili wyparowały z konta. Schemat jest ten sam od lat — zmieniają się tylko preteksty. Kluczowa zasada: żaden prawdziwy pracownik banku nigdy nie prosi o kod BLIK przez telefon, nie ma takiej procedury w żadnym polskim banku.
Źródło: Telepolis [PL]
INTERPOL operacja RAMZ — 201 aresztowań za cyberprzestępczość w regionie MENA
Help Net Security opisuje zakończoną operację INTERPOL o kryptonimie RAMZ, przeprowadzoną przez służby z regionu Bliskiego Wschodu i Afryki Północnej (MENA). W wyniku akcji zatrzymano 201 osób podejrzanych o różne formy cyberprzestępczości — od oszustw finansowych przez phishing po handel danymi osobowymi i dystrybucję malware. Operacja objęła ponad 15 krajów i doprowadziła do zabezpieczenia infrastruktury przestępczej. To kolejna skoordynowana akcja INTERPOL po operacji RAMZ z poprzedniego roku — pokazuje, że współpraca międzynarodowa w walce z cyberprzestępczością w regionach historycznie uważanych za trudne do objęcia skutecznym ściganiem nabiera realnego kształtu.
Źródło: Help Net Security [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
SecurityBeztabu: AI-generowany kod i autonomiczne agenty zmieniają krajobraz cyberzagrożeń
SecurityBeztabu.pl publikuje analizę pokazującą, jak dynamika zagrożeń zmienia się pod wpływem automatyzacji: atakujący coraz powszechniej używają AI do generowania złośliwego kodu dostosowanego do konkretnego środowiska ofiary — eliminując konieczność posiadania wiedzy programistycznej. Równolegle autonomiczne agenty AI "piszą" i "debugują" malware, reagując na wykrycie przez systemy ochronne. Artykuł wskazuje na konkretne przykłady z 2026 roku, gdy kampanie malware dostosowywały swój kod w czasie rzeczywistym, by ominąć aktualizowane sygnatury antywirusowe. Wnioski: tradycyjne narzędzia oparte na sygnaturach przestają być wystarczające; przejście na detekcję behawioralną i AI-based EDR staje się koniecznością.
Źródło: Security Bez Tabu [PL]
Niemcy wzmacniają obronę cywilną — Plan XL w odpowiedzi na hybrydowe zagrożenia Rosji i Chin
Infosecurity24.pl opisuje ogłoszony przez Niemcy "Plan XL" — największą od dekad reformę obrony cywilnej w odpowiedzi na hybrydowe zagrożenia ze strony Rosji i Chin. Plan obejmuje przygotowanie infrastruktury do przetrwania cyberataku na sieci energetyczne i telekomunikacyjne, zobowiązanie obywateli do posiadania zapasów na 10 dni i powołanie jednostek obrony cywilnej zdolnych do działania bez centralnego dowodzenia (na wypadek ataku na systemy komunikacyjne). Niemcy wyciągnęły wnioski z rosyjskich cyberataków na Ukrainę i eskalacji hybrydowych operacji w zachodniej Europie. Plan jest spójny z rosnącą doktryną NATO o "odporności" (resilience) jako fundamencie obrony kolektywnej.
Źródło: Infosecurity24.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 18 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.