Daily Cyber News 01/02/2026

Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.

1 luty 2026

---

1. NEWS

---

Były inżynier Google skazany – AI płynie do Chin

Amerykański wymiar sprawiedliwości skazał byłego inżyniera Google, Linwei Dinga, za kradzież tajemnic handlowych dotyczących sztucznej inteligencji na rzecz Chin. Ding potajemnie przesyłał setki plików zawierających poufne informacje o architekturze superkomputerów (w tym czipów TPU v6) na swoje prywatne konta w chmurze, jednocześnie współpracując z chińskimi startupami technologicznymi. Sprawa ta jest jednym z głośniejszych przykładów szpiegostwa przemysłowego w dobie wyścigu zbrojeń AI. Pokazuje ona, jak cenne są obecnie dane o infrastrukturze do trenowania modeli i jak agresywnie obce wywiady starają się zniwelować przewagę technologiczną USA. Dla firm technologicznych to brutalne przypomnienie o konieczności monitorowania zagrożeń wewnętrznych (insider threat), nawet wsród zaufanych, wysokiej klasy specjalistów. Wyrok ten ma być sygnałem odstraszającym dla innych badaczy, którzy rozważaliby wynoszenie własności intelektualnej za granicę.

Źródła: BleepingComputer [EN] oraz Hackread [EN]

---

Ivanti łata dziury "na wczoraj" – krytyczne luki w systemach mobilnych

Ivanti wydało pilne aktualizacje bezpieczeństwa dla swoich platform Endpoint Manager Mobile (EPMM) oraz MobileIron Core, aby załatać aktywnie wykorzystywane luki typu zero-day. Podatności te umożliwiają nieautoryzowanym użytkownikom dostęp do wrażliwych danych na serwerach zarządzających urządzeniami mobilnymi, a w niektórych przypadkach nawet przejęcie nad nimi kontroli. To kolejny epizod w niekończącej się sadze problemów bezpieczeństwa Ivanti, które w ostatnich latach stały się ulubionym celem grup APT i operatorów ransomware. Administratorzy zarządzający flotą mobilną w firmach muszą wdrożyć te poprawki w trybie natychmiastowym, ponieważ exploity są już w rękach przestępców. Opieszałość w tym przypadku może skutkować kompromitacją telefonów służbowych kadry zarządzającej.

Źródła: CySecurity News [EN] oraz The Register [EN]

---

Częsta zmiana hasła to błąd? Eksperci zmieniają narrację

Instalki przytaczają najnowsze rekomendacje ekspertów ds. bezpieczeństwa, które stoją w sprzeczności z wieloletnią mantrą o konieczności regularnej zmiany haseł (np. co 30 dni). Okazuje się, że wymuszanie częstych zmian prowadzi do "zmęczenia hasłami", co skłania użytkowników do tworzenia słabszych, przewidywalnych fraz (np. Hasło1, Hasło2) lub zapisywania ich na kartkach. Nowoczesne podejście, promowane m.in. przez NIST, sugeruje stosowanie długich, silnych haseł, które zmieniamy tylko w przypadku podejrzenia wycieku. Kluczem do bezpieczeństwa nie jest rotacja, lecz siła entropii i obowiązkowe uwierzytelnianie dwuskładnikowe (2FA). To ważna zmiana paradygmatu, która powinna znaleźć odzwierciedlenie w politykach bezpieczeństwa firm.

Źródło: Instalki.pl [PL]

---

2. INCYDENTY

---

ShinyHunters i kradzież chmury – Mandiant ujawnia kulisy

Firma Mandiant opublikowała szczegółowy raport techniczny na temat taktyk grupy ShinyHunters, która w ostatnich tygodniach dokonała serii głośnych włamań, wykorzystując słabości w systemach SSO (Single Sign-On). Hakerzy nie łamią szyfrowania, lecz kradną tokeny sesyjne, co pozwala im na ominięcie zabezpieczeń wieloskładnikowych i poruszanie się po środowiskach chmurowych ofiar jako uprawnieni użytkownicy. Raport punktuje, że wiele organizacji nie posiada odpowiedniego monitoringu logów, który pozwoliłby wykryć anomalie w użyciu tokenów autoryzacyjnych. To lektura obowiązkowa dla zespołów SOC, pokazująca, jak ewoluują ataki na tożsamość cyfrową.

Źródło: BleepingComputer [EN]

---

RAMP Forum wyłączone – FBI uderza w rynek ransomware

W ramach międzynarodowej operacji organów ścigania, FBI doprowadziło do zamknięcia niesławnego forum RAMP, które służyło jako hub dla operatorów ransomware i handlarzy dostępami do sieci firmowych. Forum to, znane z wysokiego progu wejścia i weryfikacji użytkowników, było miejscem, gdzie grupy RaaS (Ransomware-as-a-Service) rekrutowały partnerów i wymieniały się narzędziami. Zamknięcie RAMP to znaczący cios w ekosystem cyberprzestępczy, zmuszający grupy do szukania nowych, mniej bezpiecznych kanałów komunikacji. Choć historia uczy, że na miejsce jednego forum powstają dwa kolejne, takie akcje skutecznie burzą zaufanie wewnątrz społeczności przestępczej.

Źródło: Bitdefender [EN]

---

Panera Bread, Match Group i inni wyciekają – ransomware nie bierze jeńców

Serwis Have I Been Pwned oraz Malwarebytes potwierdzają serię wycieków danych dotykających popularne marki, w tym sieć Panera Bread oraz aplikacje randkowe należące do Match Group (Hinge, OkCupid). Dane, które trafiły do sieci, są efektem ataków ransomware, w których firmy odmówiły zapłaty okupu lub negocjacje zakończyły się fiaskiem. W przypadku Panera Bread wyciek obejmuje dane pracowników i programów lojalnościowych, natomiast w przypadku aplikacji randkowych – wrażliwe dane użytkowników. To przypomnienie, że powierzając swoje dane korporacjom, tracimy nad nimi kontrolę, a "cyfrowy ślad" może wypłynąć w najmniej oczekiwanym momencie.

Źródła: Have I Been Pwned [EN] oraz Malwarebytes [EN]

---

3. CIEKAWOSTKI

---

Bojler do kopania kryptowalut – ciepła woda z blockchaina

Benchmark opisuje innowacyjne (i nieco szalone) urządzenie o nazwie Superheat – bojler, który podgrzewa wodę użytkową, wykorzystując ciepło odpadowe z kopania kryptowalut. Urządzenie wewnątrz obudowy posiada układ ASIC, który zamiast marnować energię na wentylację, oddaje ją do instalacji hydraulicznej. To przykład kreatywnego podejścia do problemu energochłonności kryptowalut, łączący domowe ogrzewanie z pasywnym dochodem. Choć opłacalność takiego rozwiązania zależy od kursu Bitcoina i cen prądu, jest to ciekawy krok w stronę "zielonego" miningu w skali mikro.

Źródło: Benchmark.pl [PL]

---

Influenza XXI wieku – po co nam żywi twórcy?

Sekurak w swoim cyklu "AI bez lukru" porusza temat wirtualnych influencerów generowanych przez sztuczną inteligencję, którzy zdobywają miliony obserwujących i lukratywne kontrakty reklamowe. Artykuł stawia pytania o przyszłość marketingu i mediów społecznościowych, gdzie idealne, niestarzejące się i zawsze dyspozycyjne awatary mogą wyprzeć ludzkich twórców. Zjawisko to rodzi też nowe problemy z dezinformacją i manipulacją, ponieważ odbiorcy często nie są świadomi, że wchodzą w interakcję z algorytmem, a nie prawdziwą osobą.

Źródło: Sekurak [PL]

---

Kupił kartę graficzną, dostał kamień – plaga oszustw na Amazonie

Benchmark opisuje przypadek klienta Amazonu, który zamówił topową kartę graficzną GeForce RTX 5090, a w paczce znalazł... starannie zapakowany kamień. Mimo że sprzedawcą był oficjalny sklep Amazon, a nie zewnętrzny partner, proces reklamacji okazał się drogą przez mękę. Sytuacja ta rzuca światło na problem kradzieży w centrach logistycznych oraz zwrotów konsumenckich, gdzie oszuści podmieniają towar, który następnie trafia do ponownej sprzedaży jako "nowy". To przestroga, by zawsze nagrywać proces otwierania drogich paczek z elektroniką.

Źródło: Benchmark.pl [PL]

---

4. OSZUSTWA, SCAMY, EXPOITY

---

175 tysięcy serwerów Ollama wystawionych na świat

Badacze bezpieczeństwa odkryli, że ponad 175 tysięcy instancji oprogramowania Ollama (służącego do lokalnego uruchamiania modeli AI) jest dostępnych publicznie w internecie bez żadnego uwierzytelniania. Oznacza to, że każdy może połączyć się z tymi serwerami, wykraść modele, manipulować nimi lub wykorzystać cudzą moc obliczeniową do własnych celów. W dobie boomu na AI, wielu deweloperów zapomina o podstawach bezpieczeństwa sieciowego, traktując narzędzia LLM jako "bezpieczne zabawki". To gigantyczna powierzchnia ataku, która prosi się o wykorzystanie przez botnety.

Źródło: SecurityWeek [EN]

---

iClickFix – WordPress na celowniku fałszywych błędów

Firma Sekoia zidentyfikowała nową kampanię o nazwie "iClickFix", wymierzoną w administratorów i użytkowników stron opartych na WordPressie. Atakujący wstrzykują złośliwy kod do przejętych witryn, który wyświetla fałszywe komunikaty o błędach przeglądarki lub wtyczek. Aby "naprawić" problem, ofiara jest instruowana, by skopiować i uruchomić rzekomy skrypt naprawczy w terminalu. W rzeczywistości jest to złośliwy ładunek (infostealer), który kradnie hasła i dane z komputera. To ewolucja socjotechniki ClickFix, która przenosi się z fałszywych stron wideokonferencji na legalne, ale zainfekowane blogi i sklepy.

Źródło: Sekoia.io Blog [EN]

---

Oszustwo na weryfikację konta OTOMOTO

CERT Polska ostrzega przed nową kampanią phishingową wymierzoną w sprzedających na portalu OTOMOTO. Oszuści wysyłają wiadomości SMS lub e-mail z informacją o konieczności "potwierdzenia ogłoszenia" lub "weryfikacji konta", aby uniknąć blokady. Link prowadzi do fałszywej strony logowania, która wykrada dane do konta w serwisie, a często także dane karty płatniczej. Przestępcy wykorzystują przejęte konta do wystawiania fałszywych ogłoszeń motoryzacyjnych. Pamiętaj: serwisy ogłoszeniowe rzadko proszą o nagłą weryfikację przez link w SMS-ie.

Źródło: Moje CERT [PL]

---

Fałszywe odnowienie subskrypcji chmurowej

Skrzynki odbiorcze zalewane są nową falą spamu informującego o rzekomym niepowodzeniu płatności za usługi przechowywania danych w chmurze (iCloud, Google Drive, Dropbox). Maile straszą utratą danych, jeśli płatność nie zostanie zaktualizowana w ciągu 24 godzin. Jest to klasyczny phishing mający na celu wyłudzenie danych karty kredytowej. Oszuści liczą na to, że strach przed utratą zdjęć i dokumentów wyłączy krytyczne myślenie ofiary.

Źródło: BleepingComputer [EN]

---

5. DEZINFORMACJA, CYBER WOJNA

---

DynoWiper – analiza techniczna ataku na Polskę

Firma ESET (WeLiveSecurity) opublikowała pogłębioną analizę techniczną złośliwego oprogramowania DynoWiper, które zostało użyte w niedawnym ataku na polską infrastrukturę krytyczną. Raport potwierdza, że narzędzie to zostało zaprojektowane wyłącznie w jednym celu: nieodwracalnego niszczenia danych na systemach sterowania przemysłowego. Kod wipera wskazuje na powiązania z grupami rosyjskimi (prawdopodobnie Sandworm), które od lat testują cyberbroń na Ukrainie, a teraz przenoszą te działania na kraje NATO. Analiza ta jest kluczowa dla zrozumienia, jakich narzędzi używa przeciwnik i jak skonfigurować systemy detekcji, by wykryć podobne zagrożenia w przyszłości.

Źródło: WeLiveSecurity [EN]

---

Haker Epsteina – manipulacja dowodami i dezinformacja sądowa

Amerykański Departament Sprawiedliwości (DOJ) ujawnił szczegóły dotyczące hakera, który pracował dla Jeffreya Epsteina i jego współpracowników. Mężczyzna ten miał za zadanie włamywać się do systemów komputerowych, usuwać kompromitujące materiały oraz manipulować logami, aby utrudnić śledztwo i zdyskredytować ofiary. Sprawa ta rzuca światło na ciemną stronę cyberbezpieczeństwa – "czyszczenie" cyfrowej przeszłości bogatych przestępców. To przykład działań ofensywnych, które służą dezinformacji wymiaru sprawiedliwości i zacieraniu śladów realnych zbrodni w świecie cyfrowym.

Źródło: Security Affairs [EN]

---

Dlaczego scam nie znika z platform? Smutna prawda o big tech

CyberDefence24 w swoim felietonie analizuje, dlaczego media społecznościowe i platformy ogłoszeniowe, mimo posiadania potężnych narzędzi AI, nie potrafią poradzić sobie z plagą oszustw. Artykuł stawia tezę, że walka ze scamem jest często sprzeczna z modelem biznesowym gigantów – fałszywe reklamy generują realny przychód, a rygorystyczna weryfikacja utrudniałaby onboarding nowych użytkowników. Dopóki koszty wizerunkowe i prawne są niższe niż zyski z reklam (nawet tych fałszywych), platformy będą podejmować jedynie pozorowane działania. To gorzka lekcja o tym, że w cyberprzestrzeni zysk często wygrywa z bezpieczeństwem użytkownika.

Źródło: CyberDefence24 [PL]

---

Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.