🔐 Cyber Security Daily News | 26.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
🚨 ALARM: Krytyczna luka w Szafir SDK umożliwiała całkowite ominięcie logowania w ZUS-ie, e-Sądzie i e-Zdrowiu (CVE-2026-9058)
To jeden z najpoważniejszych incydentów bezpieczeństwa w polskiej administracji publicznej w historii. Badacz Michał Leszczyński odkrył i odpowiedzialnie ujawnił podatność CVE-2026-9058 w Szafir SDK — oprogramowaniu używanym przez kilkanaście rządowych systemów do weryfikacji podpisów kwalifikowanych. Błąd był zaskakująco prosty: SDK zwracał status "pozytywna weryfikacja" nawet gdy łańcuch certyfikatów podpisującego nie mógł zostać ustalony. Skutek? Każdy, kto znał imię, nazwisko i PESEL ofiary, mógł zalogować się na jej konto w ZUS, przeglądać jej sprawy w e-Sądzie (pozwy, statusy, wierzycieli, długi), odczytywać dane z e-Zdrowia, sprawdzać wnioski o bezrobocie i rejestry zatrudnienia cudzoziemców. Atak omijał zarówno 2FA, jak i zastrzeżenie PESEL — które do tej konkretnej klasy zagrożeń po prostu nie miało zastosowania. Łatka pojawiła się ponad 3 miesiące po zgłoszeniu. Systemy są już zabezpieczone (wersja 463 Szafir SDK). Pełna seria artykułów ZTS to absolutna lektura obowiązkowa dla każdego obywatela i administratora systemu.
Źródło: Zaufana Trzecia Strona [PL], Zaufana Trzecia Strona [PL], CERT Polska [PL]
Anthropic ogłasza: model Mythos trafi do Claude Code — przełomowa decyzja po miesiącach debat
BleepingComputer i The Register donoszą: Anthropic planuje udostępnienie zdolności klasy Mythos w Claude Code — narzędziu do autonomicznego programowania. To przełomowa decyzja po miesiącach wewnętrznych debat, bo Mythos był dotychczas opisywany jako "zbyt niebezpieczny do publicznego udostępniania" ze względu na zdolność do samodzielnego znajdowania i exploitowania podatności zero-day. Wersja dla deweloperów ma mieć ograniczone guardrails dedykowane środowiskami sandbox. Decyzja o udostępnieniu wywołała natychmiastową reakcję środowiska: część badaczy widzi w tym rewolucję dla defensywnego bezpieczeństwa (automatyczny audyt kodu), inni obawiają się nieuchronnego wyścigu zbrojeń, gdy te same możliwości trafią do mniej odpowiedzialnych podmiotów.
Źródło: BleepingComputer [EN], The Register [EN]
NASK buduje nowe Centrum Cyberbezpieczeństwa — ruszyła budowa kluczowej infrastruktury
CRN.pl informuje, że NASK (Naukowa i Akademicka Sieć Komputerowa) oficjalnie rozpoczął budowę nowego Centrum Cyberbezpieczeństwa, które ma stać się kluczowym węzłem obrony cybernetycznej Polski. Inwestycja obejmuje zaawansowaną infrastrukturę do analizy zagrożeń, centrum reagowania na incydenty (CSIRT) i zasoby do ćwiczeń symulacyjnych. Projekt jest elementem szerszej implementacji dyrektywy NIS2 i budowy polskiej architektury odporności cybernetycznej w odpowiedzi na rosnące zagrożenia ze strony Rosji i Białorusi. Centrum ma być gotowe do pełnej działalności w 2028 roku.
Źródło: CRN.pl [PL]
🚨 INCYDENTY
Ghost CMS — luka SQL injection eksploitowana w ponad 700 stronach w masowej kampanii ClickFix
Badacze opisują aktywną eksploatację luki CVE-2026-26980 w systemie Ghost CMS — popularnym silniku blogowym. Podatność pozwala na wstrzyknięcie SQL przez niezabezpieczone API, co daje atakującym pełny dostęp do bazy danych. W tym konkretnym przypadku hakerzy użyli jej do wstrzyknięcia w treść stron JavaScript uruchamiającego atak ClickFix — fałszywe komunikaty CAPTCHA nakłaniające odwiedzających do uruchomienia złośliwych poleceń w terminalu. W ciągu kilku dni zainfekowano ponad 700 stron. Każda z nich stała się pułapką na własnych czytelników. Administratorzy Ghost powinni niezwłocznie zaktualizować system — łatka jest dostępna.
Źródło: SecurityWeek [EN], BleepingComputer [EN], The Hacker News [EN]
Niderlandy przejęły 800 serwerów i aresztowały 2 osoby za wspieranie rosyjskich cyberataków
Holenderska policja, w skoordynowanej operacji z Europol, przejęła blisko 800 serwerów należących do sieci "bulletproof hostingu" — infrastruktury celowo projektowanej tak, by odpierać nakazy usunięcia i ignorować raporty o nadużyciach. Sieć aktywnie hostowała narzędzia używane przez grupy cyberprzestępcze powiązane z Rosją do ataków na europejskie instytucje rządowe i firmy. Aresztowano dwie osoby podejrzane o zarządzanie infrastrukturą. Zajęcie 800 serwerów jednocześnie to jedna z największych akcji tego rodzaju w historii europejskich organów ścigania.
Źródło: Krebs on Security [EN], Help Net Security [EN]
Cyberatak na centrum zdrowia psychicznego — komunikat do pacjentów dopiero po 3 latach
CyberDefence24 opisuje niepokojący przypadek: centrum zdrowia psychicznego dopiero teraz — ponad trzy lata po incydencie bezpieczeństwa, który miał miejsce w 2023 roku — wydało oficjalny komunikat dla pacjentów informujący o możliwym wycieku ich danych. Dane zdrowia psychicznego należą do najbardziej wrażliwych możliwych — mogą być podstawą do dyskryminacji, szantażu lub wykluczenia społecznego. Trzyletnie opóźnienie w powiadomieniu jest rażącym naruszeniem RODO, które wymaga notyfikacji w ciągu 72 godzin od stwierdzenia incydentu. Sprawa trafiła już do UODO.
Źródło: CyberDefence24 [PL]
💡 CIEKAWOSTKI
Cloud Atlas 2026 — Kaspersky opisuje ewolucję 13-letniej kampanii szpiegowskiej
Kaspersky Securelist opublikował aktualizację dotyczącą grupy Cloud Atlas — jednej z nielicznych grup APT aktywnych nieprzerwanie od ponad 13 lat. Nowy raport dokumentuje, jak Cloud Atlas zmodernizowała swój arsenał i infrastrukturę, pozostając mimo to praktycznie niezauważona przez większość systemów detekcji. Grupa stosuje wielostopniowy łańcuch ataku z zaawansowanymi implantami PowerShell i XML, ukrywając komunikację C2 w chmurowych usługach takich jak OneDrive. Celuje głównie w Europę Wschodnią, Rosję i obszar poradziecki — kraje, w których śledzenie grup APT jest utrudnione politycznie. To pouczający przykład, że długoterminowe, cierpliwe operacje szpiegowskie mogą trwać dekadę bez szerokiego rozgłosu.
Źródło: Securelist (Kaspersky) [EN]
Fałszywe alarmy w Polsce jako test odporności państwa frontowego
CyberDefence24 opisuje niepokojący trend: Polska doświadcza narastającej fali fałszywych alarmów o bombach, pożarach i zagrożeniach CBRN (chemicznych, biologicznych, radiologicznych, nuklearnych) w obiektach publicznych. Eksperci wskazują, że część z tych fałszywych alarmów ma charakter skoordynowany i może być elementem testowania odporności polskiego systemu reagowania kryzysowego przez wrogie służby. Każdy alarm pochłania zasoby służb ratowniczych i tworzy precedens pozwalający na kalibrację kolejnych operacji. Artykuł wskazuje na konieczność analizy tych zdarzeń w kategorii wywiadu, nie tylko kryminalistyki.
Źródło: CyberDefence24 [PL]
🎣 OSZUSTWA, SCAMY, EXPLOITY
FBI ostrzega przed Kali365 — phishingowa platforma-as-a-service na Microsoft 365
FBI wydało oficjalny komunikat ostrzegający przed platformą Kali365 — usługą phishingową sprzedawaną w darknecie jako "pełne narzędzie do przejęcia kont Microsoft 365 z obsługą omijania MFA". Kali365 dostarcza gotowe szablony, hosting stron phishingowych, mechanizmy AiTM (adversary-in-the-middle) przechwytujące tokeny sesji i panel do zarządzania przejętymi kontami. Przestępcy bez żadnej wiedzy technicznej mogą wykupić subskrypcję i natychmiast uruchamiać zaawansowane kampanie. Kali365 jest już aktywnie używane przez dziesiątki grup atakujących organizacje w USA i Europie.
Źródło: BleepingComputer [EN], Infosecurity Magazine [EN], CyberScoop [EN]
WhatsApp zero-click na iOS 16 — przejęcie konta bez żadnej interakcji użytkownika
Security Affairs ujawnia krytyczną podatność w WhatsApp na iPhonach z iOS 16: atakujący może przejąć konto ofiary bez kliknięcia czegokolwiek, bez parowania urządzenia i bez żadnego widocznego powiadomienia. Wystarczy znajomość numeru telefonu ofiary. Luka polega na błędzie w obsłudze specyficznego pakietu sieciowego, który pozwala atakującemu zarejestrować nowe powiązane urządzenie bez autoryzacji. Apple i Meta pracują nad łatką. Tymczasowe zalecenie: zaktualizuj iOS do wersji 17 lub nowszej — iOS 16 jest podatny, nowsze wersje nie wykazują tej podatności.
Źródło: Security Affairs [EN]
CRN.pl: 6 oskarżonych za phishing we Wrocławiu — gang wyłudził ponad pół miliona złotych
Prokuratura Okręgowa we Wrocławiu postawiła zarzuty sześciu osobom w wieku 19–27 lat podejrzanym o prowadzenie zorganizowanej grupy phishingowej. Gang tworzył fałszywe strony znanych sklepów internetowych i platform usługowych, rozsyłał SMS-y z linkami do spreparowanych formularzy płatności i wyłudził od co najmniej kilkudziesięciu ofiar łącznie ponad 500 000 zł. Prokuratura wskazuje, że poszczególni członkowie mieli ściśle podzielone role: od tworzenia fałszywych stron, przez dystrybucję SMS-ów, po wypłacanie środków za pośrednictwem kryptowalut i kont słupów. Sprawa jest przykładem efektywnej współpracy policji z CBZC w zwalczaniu cyberprzestępczości w Polsce.
Źródło: CRN.pl [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Lazarus (Korea Północna) wdraża RemotePE — bezplikowy malware działający wyłącznie w pamięci RAM
The Hacker News opisuje nową technikę grupy Lazarus: RemotePE to zaawansowany implant szpiegowski istniejący wyłącznie w pamięci operacyjnej — bez zapisywania czegokolwiek na dysku, co czyni go praktycznie niewidocznym dla tradycyjnych narzędzi antywirusowych i systemów EDR bazujących na sygnaturach plikowych. Malware jest wstrzykiwany bezpośrednio do legalnych procesów systemowych, skąd szyfrowanym kanałem komunikuje się z C2. Lazarus stosuje tę technikę głównie przeciwko giełdom kryptowalut i firmom fintech w Europie i Azji — kontynuując strategię finansowania reżimu przez kradzież kryptowalut.
Źródło: The Hacker News [EN]
F5 BIG-IP pod ostrzałem hakerów — zdalny dostęp SSH i przejęcie sieci firmowych
Kapitan Hack opisuje nasiloną falę ataków na urządzenia F5 BIG-IP — zaawansowane load balancery i kontrolery dostarczania aplikacji używane przez największe firmy i instytucje rządowe. Hakerzy eksploitują niezałatane podatności pozwalające uzyskać dostęp SSH do urządzenia, a następnie używają go jako punktu wejścia do wewnętrznej sieci organizacji. F5 BIG-IP stoi zwykle między internetem a krytyczną infrastrukturą IT — jego przejęcie jest "złotym biletem" dla atakującego. Polska baza klientów F5 obejmuje banki, telekomy i administrację rządową. Administratorzy powinni priorytetowo sprawdzić dostępność łatek i ograniczyć dostęp SSH do zarządzania wyłącznie z adresów IP zaufanych.
Źródło: Kapitan Hack [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 26 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.