🔐 Cyber Security Daily News | 04.03.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
1. 📰 NEWS
Centra danych AWS w Zjednoczonych Emiratach i Bahrajnie trafione dronami — przerwy w chmurze
Amazon Web Services potwierdziło, że dwa centra danych w ZEA zostały bezpośrednio trafione przez drony, a trzeci obiekt w Bahrajnie ucierpiał z powodu pobliskiego uderzenia. Ataki są częścią irańskiej odpowiedzi odwetowej na izraelsko-amerykańskie uderzenia w Iranie w ramach operacji Epic Fury. Pożary uruchomiły systemy tryskaczowe, co doprowadziło do dodatkowych szkód w infrastrukturze sprzętowej. Incydent sparaliżował dziesiątki usług chmurowych w regionie — ucierpiały m.in. platforma Careem, firmy płatnicze Alaan i Hubpay oraz Abu Dhabi Commercial Bank. AWS oficjalnie zalecił klientom pilne migrowanie krytycznych workloadów do innych regionów, wskazując, że sytuacja operacyjna na Bliskim Wschodzie pozostaje „nieprzewidywalna". To pierwsza w historii sytuacja, gdy centrum danych dużej amerykańskiej firmy technologicznej zostało bezpośrednio uszkodzone przez atak militarny.
Źródła: BleepingComputer [EN], CRN [PL]
Cloudflare blokuje 230 miliardów zagrożeń dziennie — raport o krajobrazie cyberzagrożeń 2026
Cloudflare opublikował swój inauguracyjny raport o zagrożeniach cybernetycznych, obejmujący dane z 2025 roku i prognozy na 2026. Sieć firmy obsługuje ok. 20% globalnego ruchu webowego, co daje jej unikalne pole obserwacji. Kluczowe ustalenie: infostealery takie jak LummaC2 coraz częściej kradną aktywne tokeny sesji zamiast haseł, co pozwala całkowicie ominąć MFA. Raport wskazuje też na alarmujący wzrost ataków na łańcuchy dostaw — atakujący przesuwają się w górę ekosystemu, targetując biblioteki, narzędzia deweloperskie i środowiska CI/CD. DDoS, exploity aplikacyjne i inżynieria społeczna napędzana AI zamykają stawkę najczęstszych wektorów ataku. Automatyzacja ataku stała się normą — cykl od odkrycia podatności do masowego exploitowania skrócił się do godzin.
Źródło: Help Net Security [EN]
Polskie systemy OT w sektorze wody i ciepłownictwa — rzeczywiste ataki na SCADA
AVLab analizuje stan bezpieczeństwa polskich systemów Operational Technology (OT) na podstawie udokumentowanych incydentów z ostatnich kilkunastu miesięcy. W ciepłowni w Ruciane-Nida przestępcy wyłączyli jeden z dwóch pieców kotłowni po przeniknięciu do systemów — w środku zimy. Próby przejęcia paneli SCADA i SUW zakładów wodociągowych odnotowano w Tolkmicku, Małdytach, Sierakowie, Wydminach, Szczytnie i Rzeszowie. Część incydentów prawdopodobnie nigdy nie zostało zgłoszonych. Problem systemowy to brak izolacji sieci OT od internetu, stosowanie przestarzałego oprogramowania oraz używanie domyślnych haseł do systemów przemysłowych. Artykuł wskazuje, że polskie firmy infrastrukturalne mają znacznie niższe budżety na bezpieczeństwo OT niż ich zachodnioeuropejscy odpowiednicy — co czyni z Polski atrakcyjny cel.
Źródło: AVLab [PL]
2. 🚨 INCYDENTY
Wyciek 15,8 miliona akt medycznych z Francji — dane polityków i pacjentów z HIV online
Ministerstwo Zdrowia Francji potwierdziło, że atakujący uzyskali dostęp do oprogramowania firmy Cegedim Santé używanego przez około 1500 lekarzy z 3800 praktykujących z tym rozwiązaniem. Skradziono 15,8 miliona akt administracyjnych, z czego 165 tysięcy zawierało odręczne adnotacje lekarzy, w tym w bardzo wrażliwych przypadkach — informacje o orientacji seksualnej pacjenta lub chorobie HIV/AIDS. Atak miał miejsce pod koniec 2025 roku, a atakujący podszył się pod urzędnika posiadającego prawa dostępu do międzyresortowej wymiany danych. France 2 ujawnił, że wśród poszkodowanych są czołowi politycy, a dane są już dostępne online. Ekspert Wavestone określił wyciek jako potencjalnie „największy w historii Francji" w sektorze zdrowia, z konsekwencjami niemożliwymi do cofnięcia — raz opublikowane informacje medyczne pozostają w sieci na zawsze.
Źródło: The Register [EN], France24
Wyciek ponad miliarda rekordów KYC z serwisów AI — dwie incydenty, jedna klasa błędów
Badacze Cybernews odkryli dwa oddzielne wycieki danych powiązane z aplikacjami AI. Pierwszy dotyczy IDMerit — opartego na AI dostawcy weryfikacji tożsamości KYC dla sektora fintech — który pozostawił bazę MongoDB bez jakiegokolwiek uwierzytelnienia w publicznym internecie. Ekspozycja obejmowała ok. 3 miliardy rekordów, z czego ok. 1 miliard stanowiły wrażliwe dane osobowe z 26 krajów: pełne imiona, adresy, numery dowodów, daty urodzenia, numery telefonów, metadane telefoniczne i logi AML. USA były najbardziej poszkodowane (203 mln rekordów), potem Meksyk (124 mln) i Filipiny (72 mln). Drugi incydent dotyczył aplikacji Video AI Art Generator & Maker, która ujawniła prawie 2 miliony prywatnych zdjęć i nagrań użytkowników. Oba wycieki wynikały z prostych błędów konfiguracyjnych chmury — nie z zaawansowanych ataków. Przypadek IDMerit jest szczególnie niepokojący: firmy KYC to precyzyjnie ten podmiot, któremu powierza się weryfikację tożsamości, by chronić się przed fraudem.
Źródło: CySecurity News [EN]
Nowa kampania malware na Ukrainie — złośliwy kod udający aktualizacje oprogramowania
CyberDefence24 opisuje nową falę cyberataków skierowaną przeciwko ukraińskim użytkownikom i instytucjom, w której złośliwe oprogramowanie jest dystrybuowane pod przykrywką legalnych aktualizacji systemu lub oprogramowania. Technika ta — znana jako trojanizacja aktualizacji — jest klasycznym narzędziem rosyjskich grup APT, stosowanym m.in. w kampaniach NotPetya i SolarWinds. Obecna kampania szczególnie celuje w organizacje sektora publicznego i krytyczną infrastrukturę. Równocześnie ukraińskie służby zatrzymały agenta FSB, który rejestrował lokalizacje terminali Starlink, dostarczając Rosji dane do precyzyjnego targetowania artyleryjskiego. To kolejny przykład, jak cyberintelligence i zbieranie danych z otwartych źródeł wspiera operacje kinetyczne na polu walki.
Źródła: CyberDefence24 — malware [PL], CyberDefence24 — FSB [PL]
3. 🤔 CIEKAWOSTKI
Podatność CVE-2026-0628 w Chrome: rozszerzenie mogło przejąć kamerę, mikrofon i pliki przez panel Gemini
Badacze z Unit 42 firmy Palo Alto Networks odkryli krytyczną podatność w implementacji Gemini Live w Chrome, umożliwiającą rozszerzeniom przeglądarki z podstawowymi uprawnieniami przejęcie kontroli nad uprzywilejowanym panelem AI. Po wstrzyknięciu kodu JavaScript do panelu Gemini atakujący uzyskiwał dostęp do lokalnych plików, kamery, mikrofonu i możliwości robienia zrzutów ekranu dowolnych stron HTTPS — bez żadnej dodatkowej interakcji użytkownika poza otwarciem panelu. Problem wynika z architektonicznych decyzji przy integracji AI z przeglądarką: panel Gemini działa z uprawnieniami na poziomie przeglądarki, a nie karty. Google otrzymał zgłoszenie 23 października 2025 roku i wydał łatkę 5 stycznia 2026 roku w Chrome 143 — aktualne wersje są bezpieczne. Przypadek jest ważnym ostrzeżeniem: im głębiej AI jest wbudowane w środowisko przeglądarki, tym większa powierzchnia ataku dla złośliwych rozszerzeń.
Źródła: Malwarebytes [EN], The Hacker News [EN]
Śledzenie samochodów przez czujniki ciśnienia opon — badacze pokazują nowy wektor inwigilacji
Help Net Security opisuje badania, które wskazują na zaskakujący wektor śledzenia pojazdów — czujniki TPMS (Tire Pressure Monitoring System), które są obowiązkowym wyposażeniem samochodów w UE i USA od odpowiednio 2014 i 2008 roku. Każdy czujnik emituje unikalny identyfikator radiowy, który można odebrać z odległości kilkudziesięciu metrów standardowym sprzętem SDR (Software Defined Radio). Zestaw odbiorników rozmieszczonych przy drodze pozwala śledzić trasy pojazdów bez instalowania jakiegokolwiek urządzenia w samochodzie. Producenci nie przewidzieli prywatności w projekcie TPMS — identyfikatory są stałe i nieszywalne. To przypomnienie, że każde urządzenie emitujące sygnał radiowy może potencjalnie stać się narzędziem inwigilacji.
Źródło: Help Net Security [EN]
4. 🎣 OSZUSTWA, SCAMY, EXPLOITY
Kampania phishingowa nadużywa mechanizmu przekierowania OAuth — atakuje sektor publiczny
Microsoft Threat Intelligence opisuje aktywną kampanię phishingową, która niezwykle sprytnie wykorzystuje legalne przepływy OAuth do omijania filtrów bezpieczeństwa. Ofiara klika link, który kieruje ją na prawdziwą stronę logowania Microsoftu lub Google — bo tak w istocie wygląda URL. Jednak mechanizm przekierowania OAuth jest tak zmanipulowany, że po chwili przeglądarka automatycznie przenosi użytkownika na stronę atakującego z phishingowym kitem lub malwarem. Ataki celują przede wszystkim w organizacje rządowe i sektor publiczny. Ponieważ ofiara widzi autentyczną stronę logowania z prawdziwą domeną, klasyczne metody weryfikacji zawodzą — to istotna eskalacja techniczna. Administratorzy powinni skonfigurować polityki conditional access i monitorować anomalie w przepływach OAuth.
Źródła: Help Net Security [EN], Security Affairs [EN]
CSIRT KNF ostrzega przed atakami Browser-in-the-Browser — fałszywe okna przeglądarki
Polska instytucja CSIRT KNF (dla sektora finansowego) przypomina o technice ataku Browser-in-the-Browser (BitB), w której przestępcy tworzą realistycznie wyglądające fałszywe okna pop-up przeglądarki wewnątrz normalnej strony internetowej — np. okno logowania Google lub Apple ID. Dla ofiary wygląda to dokładnie jak prawdziwe systemowe okno przeglądarki, z poprawnym URL, ikonką kłódki i layoutem — bo całość jest zbudowana w HTML/CSS/JavaScript osadzonym na złośliwej stronie. Technika jest szczególnie skuteczna przy atakach na użytkowników kryptowalut, platform gamingowych i bankowości internetowej. Wykrycie ataku jest możliwe: prawdziwe okna przeglądarki można przemieszczać poza obszar okna aplikacji, fałszywe — nie. Artykuł zawiera zrzuty ekranu ilustrujące różnicę.
Źródło: Dobreprogramy [PL]
Hakerzy podszywają się pod domenę .arpa w phishingowych kampaniach
Badacze z Hackread opisują kampanię, w której przestępcy rejestrują domeny wyglądające jak subdomeny infrastruktury ARPA — jednej z najstarszych i najbardziej zaufanych domen najwyższego poziomu w internecie, używanej m.in. do odwrotnych zapytań DNS. Exploit polega na tym, że użytkownicy i narzędzia bezpieczeństwa traktują domeny wyglądające jak „*.arpa" ze szczególnym zaufaniem. To część szerszej tendencji do nadużywania „prestiżowych" TLD i subdomen znanych instytucji w celu dodania wiarygodności wiadomościom phishingowym. Administratorzy DNS powinni sprawdzić konfiguracje i upewnić się, że narzędzia do filtrowania phishingu są aktualizowane o tego rodzaju wzorce.
Źródło: Hackread [EN]
5. ⚠️ DEZINFORMACJA, CYBER WOJNA
Cyberwojna w kontekście konfliktu USA–Iran: Pentagon potwierdza operacje ofensywne
Pentagon oficjalnie potwierdził, że Cyber Command USA (USCYBERCOM) prowadził ofensywne operacje cybernetyczne jako element szerszej operacji Epic Fury wymierzonej w Iran. CyberDefence24 i The Register opisują szczegóły: cyberatak towarzyszący uderzeniom militarnym z 28 lutego miał sparaliżować irańską infrastrukturę komunikacyjną, systemy obrony powietrznej i koordynację sił zbrojnych, by ułatwić fizyczne operacje. Skala operacji cybernetycznej jest przez ekspertów oceniana jako bezprecedensowa — Iran stracił ok. 96% normalnej łączności internetowej w szczytowym momencie ataku. Jednocześnie irańskie grupy powiązane z IRGC zintensyfikowały działania w cyberprzestrzeni przeciwko zachodnim firmom, organizacjom rządowym i infrastrukturze krytycznej w państwach goszczących bazy USA. Check Point Research wydał ostrzeżenie dla europejskich organizacji przed wzmożoną aktywnością irańskich APT.
Źródła: CyberDefence24 [PL], The Register [EN], CRN [PL]
Pakistan: stacje telewizyjne zhakowane, wyemitowano treści antyarmijne
Hackread opisuje atak na pakistańskie stacje telewizyjne, w wyniku którego napastnicy przejęli sygnały i wyemitowali treści z ostrą krytyką armii pakistańskiej. Incydent wpisuje się w trwające napięcia między mediami a wojskiem w Pakistanie i jest kolejnym przykładem weaponizacji infrastruktury mediów tradycyjnych — tym razem nie jako narzędzie dezinformacji, lecz jawnej propagandy politycznej. Ataki na infrastrukturę nadawczą są wyjątkowo skuteczne pod względem zasięgu, bo docierają do odbiorców nieposiadających dostępu do internetu. Sprawcy pozostają nieustaleni, jednak profil ataku i treść przekazu wskazuje na ugrupowania o motywacjach politycznych, a nie czysto kryminalnych.
Źródło: Hackread [EN]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.