Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
12 stycznia 2026
1. NEWS
Flock Safety i "hasło dla wszystkich" – 53 razy ten sam błąd
NexaNet ujawnia szokujące praktyki w firmie Flock Safety, dostarczającej systemy monitoringu dla amerykańskich służb. Okazuje się, że w infrastrukturze służącej do inwigilacji aż 53 razy znaleziono "zahardkodowane" hasło, co jest jednym z grzechów głównych w cyberbezpieczeństwie. Używanie tego samego, zaszytego w kodzie hasła w krytycznej infrastrukturze sprawia, że przejęcie jednej kamery lub systemu może otworzyć drzwi do całej sieci. To kompromitacja dla firmy, która sprzedaje "bezpieczeństwo", a sama nie przestrzega jego podstawowych zasad. Incydent ten powinien być dzwonkiem alarmowym dla wszystkich miast wdrażających systemy Smart City.
Źródło: NexaNet [EN]
Kalifornia mówi "dość": Zakaz handlu danymi zdrowotnymi
Kalifornia wprowadza przełomowe prawo, które zabrania brokerom danych handlowania informacjami dotyczącymi zdrowia reprodukcyjnego milionów obywateli. Decyzja ta jest odpowiedzią na rosnące obawy o prywatność pacjentów w erze cyfrowej, gdzie dane o wizytach w klinikach czy zakupach w aptekach mogły być wykorzystywane przeciwko nim. Nowe przepisy mają ukrócić praktyki profilowania zdrowotnego w celach reklamowych lub dyskryminacyjnych. To ważny krok, który może stać się wzorem dla innych stanów i państw, pokazujący, że pewne sfery życia muszą pozostać poza rynkiem danych.
Źródło: BleepingComputer [EN]
Windows 11: Copilot wchodzi do Eksploratora plików
Microsoft nie zwalnia tempa w integrowaniu sztucznej inteligencji ze swoim systemem operacyjnym. W najnowszych kompilacjach Windows 11 asystent Copilot trafi bezpośrednio do Eksploratora plików, co ma ułatwić zarządzanie dokumentami i wyszukiwanie treści. Choć funkcja ta obiecuje zwiększenie produktywności, rodzi też pytania o prywatność – czy AI będzie analizować treść naszych lokalnych plików w czasie rzeczywistym? Dla administratorów IT oznacza to konieczność rewizji polityk GPO, aby zdecydować, czy chcą, by AI "czytało" firmowe dyski.
Źródło: DobreProgramy [PL]
Wpadka z anonimizacją akt Epsteina – PDF-y zdradzają sekrety
Kolejna odsłona dramatu związanego z ujawnianiem dokumentów ze sprawy Jeffreya Epsteina. Okazuje się, że proces redakcji (anonimizacji) dokumentów został przeprowadzony nieprawidłowo – czarne paski nałożone na tekst w plikach PDF nie usunęły warstwy tekstowej pod spodem. Dzięki temu, przy użyciu prostych narzędzi, można było odczytać nazwiska ofiar i świadków, które miały pozostać utajnione. To klasyczny błąd "kopiuj-wklej", który w sprawach tej wagi jest niedopuszczalny i naraża wiele osób na niebezpieczeństwo.
Źródło: CySecurity News [EN]
NordPass ułatwia 2FA – authenticator wbudowany w menedżer haseł
NordPass wprowadza funkcję, która może przekonać opornych do stosowania uwierzytelniania dwuskładnikowego. Menedżer haseł został zintegrowany z generatorem kodów TOTP (Time-based One-Time Password), co pozwala na automatyczne wypełnianie drugiego składnika logowania na różnych urządzeniach. Choć puryści bezpieczeństwa mogą kręcić nosem na trzymanie hasła i drugiego składnika w jednej aplikacji, dla przeciętnego użytkownika jest to ogromne ułatwienie, które realnie podnosi poziom bezpieczeństwa kont.
Źródło: Help Net Security [EN]
2. INCYDENTY
Wyciek danych 17,5 miliona użytkowników Instagrama
Security Affairs donosi o masowym wycieku danych, który dotknął 17,5 miliona użytkowników Instagrama. Baza, która trafiła do sieci, zawiera informacje kontaktowe, biogramy i inne dane profilowe, które mogą posłużyć do precyzyjnego phishingu i kradzieży tożsamości. Choć Meta (właściciel Instagrama) walczy ze scrapingiem, incydent ten pokazuje, że dane publicznie dostępne wciąż są masowo agregowane i monetyzowane przez cyberprzestępców. Użytkownicy powinni zachować czujność wobec niespodziewanych wiadomości i prób kontaktu na innych platformach.
Źródło: Security Affairs [EN]
Chińscy hakerzy czytają maile – breach w systemach pocztowych
Grupa hakerska powiązana z chińskim rządem zdołała spenetrować systemy poczty elektronicznej ważnych organizacji, uzyskując wgląd w poufną korespondencję. Atak ten, oparty na zaawansowanych technikach szpiegowskich, miał na celu pozyskanie informacji strategicznych i gospodarczych. Incydent potwierdza, że e-mail pozostaje jednym z najbardziej wrażliwych kanałów komunikacji, a tradycyjne zabezpieczenia są niewystarczające w starciu z grupami APT.
Źródło: CySecurity News [EN]
3. CIEKAWOSTKI
Google cenzuruje AI w medycynie – koniec "halucynacji" o zdrowiu?
Google podjęło decyzję o wyłączeniu generowanych przez AI podsumowań (AI Overviews) dla zapytań dotyczących konkretnych kwestii medycznych. Ruch ten wynika z obaw o bezpieczeństwo użytkowników, którzy mogliby otrzymać błędne lub szkodliwe porady zdrowotne od "halucynującego" modelu. To przyznanie się giganta do tego, że technologia LLM nie jest jeszcze gotowa, by zastąpić lekarza, a ryzyko błędu w sprawach życia i śmierci jest zbyt wysokie. To krok w stronę odpowiedzialnego AI, gdzie bezpieczeństwo przedkładane jest nad "wszystkowiedzącego" bota.
Źródło: TechCrunch [EN]
Microsoft Word żegna Kindle – koniec wygodnego wysyłania
Microsoft poinformował o wycofaniu funkcji "Send to Kindle" z edytora Word, co zasmuci wielu miłośników e-czytników. Opcja ta pozwalała na szybkie przesyłanie dokumentów bezpośrednio na urządzenie Amazonu, ułatwiając czytanie dłuższych tekstów bez męczenia oczu. Decyzja ta jest prawdopodobnie podyktowana zmianami w API lub małą popularnością funkcji, ale zmusza użytkowników do powrotu do ręcznego przesyłania plików lub korzystania z wtyczek firm trzecich.
Źródło: BleepingComputer [EN]
Gaming na Linuxie w 2026 – czy to już ten rok?
Redaktor The Verge podjął się wyzwania przesiadki na Linuxa jako głównej platformy do gier. Jego "pamiętnik" rzuca światło na to, jak bardzo Steam Deck i warstwa kompatybilności Proton zmieniły krajobraz gamingu na pingwinie. Choć wciąż zdarzają się problemy ze sterownikami czy anty-cheatami, Linux staje się realną alternatywą dla Windowsa, oferując większą prywatność i kontrolę nad systemem. To ciekawa lektura dla tych, którzy mają dość telemetrycznych zapędów Microsoftu.
Źródło: The Verge [EN]
4. OSZUSTWA, SCAMY, EXPOITY
Zero-Click w ChatGPT – aplikacja na macOS dziurawa
Badacze odkryli krytyczną podatność w aplikacji ChatGPT na system macOS, która umożliwia przeprowadzenie ataku typu "zero-click". Oznacza to, że ofiara nie musi w nic klikać ani pobierać, aby napastnik mógł przejąć kontrolę nad aplikacją lub wykraść historię czatów. Luka ta wykorzystuje mechanizmy integracji aplikacji z systemem. OpenAI pracuje nad łatką, ale incydent ten przypomina, że nawet nowoczesne aplikacje AI są podatne na klasyczne błędy bezpieczeństwa oprogramowania.
Źródło: Infosecurity Magazine [EN]
Energooszczędne AI – nowa nadzieja czy zagrożenie?
Naukowcy pracują nad modelami "energy-aware cybersecurity AI", które mają być nie tylko skuteczne w wykrywaniu zagrożeń, ale też oszczędne dla baterii i procesora. W dobie urządzeń mobilnych i IoT, ciężkie algorytmy bezpieczeństwa często drenują zasoby, co zniechęca użytkowników do ich stosowania. Nowe badania mają na celu stworzenie lekkich modeli, które zapewnią ochronę bez paraliżowania urządzenia – to klucz do bezpieczeństwa w świecie Internetu Rzeczy.
Źródło: Help Net Security [EN]
5. DEZINFORMACJA, CYBER WOJNA
Indonezja blokuje Groka – stop dla seksualizacji bez zgody
Rząd Indonezji zablokował dostęp do modelu AI Grok (od xAI) w odpowiedzi na falę generowanych przez niego deepfake'ów o charakterze seksualnym. Sztuczna inteligencja była wykorzystywana do tworzenia pornograficznych wizerunków osób bez ich zgody, co wywołało skandal. Decyzja Dżakarty to mocny sygnał dla gigantów technologicznych, że brak moderacji i "wolność słowa" nie mogą być usprawiedliwieniem dla cyfrowej przemocy.
Źródło: TechCrunch [EN]
Europol rozbija Black Axe – cios w nigeryjską cyberprzestępczość
Wspólna akcja Europolu i lokalnych służb doprowadziła do aresztowań kluczowych członków grupy Black Axe. Ten nigeryjski syndykat przestępczy znany jest z prowadzenia zaawansowanych oszustw internetowych (BEC, love scam) na skalę globalną. Operacja ta uderza w struktury finansowe i logistyczne grupy, pokazując, że walka z międzynarodową cyberprzestępczością wymaga skoordynowanych działań operacyjnych w wielu krajach jednocześnie.
Źródło: Infosecurity Magazine [EN]
Rosyjscy oligarchowie pozywają Ukrainę – wojna prawna (Lawfare)
InfoSecurity24 opisuje nowy front konfliktu: rosyjscy oligarchowie składają miliardowe pozwy przeciwko Ukrainie w międzynarodowych trybunałach, domagając się odszkodowań za utracone aktywa. To element tzw. "lawfare" – wykorzystywania instrumentów prawnych jako broni w wojnie hybrydowej. Celem jest nie tylko odzyskanie pieniędzy, ale także obciążenie ukraińskiego budżetu kosztami obsługi prawnej i wywarcie presji politycznej na Kijów.
Źródło: InfoSecurity24 [PL]
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.