🔐 Cyber Security Daily News | 29.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Carnival Cruise Lines — ShinyHunters wykradają dane niemal 6 milionów pasażerów
Carnival Corporation, właściciel największej na świecie floty statków wycieczkowych (marki Carnival, Princess Cruises, Holland America, Cunard i innych), potwierdziła wyciek danych osobowych blisko 6 milionów klientów po szantażu grupy ShinyHunters. Skradzione dane obejmują imiona, adresy, daty urodzenia, numery telefonów, e-maile i — w przypadku części klientów — informacje paszportowe oraz dane dotyczące stanu zdrowia wymagane przy rezerwacji rejsów. To kolejna ofiara ShinyHunters w ich imponującej serii 2026: po Medtronic, Udemy, Vimeo, 7-Eleven i Charter Communications gang uderza ponownie — tym razem w branżę turystyczną. HaveIBeenPwned planuje dodać naruszenie do swojej bazy, co pozwoli sprawdzić, czy twoje dane znalazły się wśród wykradzionych.
Źródło: The Register [EN], SecurityWeek [EN], BleepingComputer [EN]
Szef GCHQ: AI to "niepowstrzymana siła" — ostrzeżenie o Rosji i rewolucji w cyberwojnie
Anne Keast-Butler, dyrektorka GCHQ (brytyjski wywiad sygnałowy i cyberbezpieczeństwo), w rzadkim publicznym wystąpieniu określiła AI mianem "niepowstrzymanej siły, która fundamentalnie zmienia krajobraz cyberzagrożeń". Podkreśliła, że Rosja agresywnie integruje AI z operacjami cybernetycznymi i dezinformacyjnymi — i że zachodnie służby muszą dorównać temu tempu lub uznać przegraną wojnę informacyjną. Keast-Butler ostrzegła też przed "demokratyzacją destrukcji": modelami AI obniżającymi próg wejścia dla aktorów niepaństwowych do prowadzenia zaawansowanych cyberataków. To jeden z najbardziej bezpośrednich komunikatów od szefowej GCHQ — sygnał, że zachodni sojuszniczy wywiad traktuje AI jako zagrożenie egzystencjalne dla obecnego modelu bezpieczeństwa cybernetycznego.
Źródło: SecurityWeek [EN], CyberScoop [EN]
Glassworm miał rosyjskie ślady — CyberDefence24 ujawnia nowe ustalenia po likwidacji botnetu
CyberDefence24 informuje, że po likwidacji botnetu Glassworm (opisanej w poprzednim wydaniu) analitycy CrowdStrike i FBI zidentyfikowali elementy infrastruktury sugerujące bezpośrednie powiązania z rosyjskimi grupami APT. Część węzłów C2 korzystała z infrastruktury wynajmowanej przez podmioty wcześniej kojarzone z GRU i FSB. Jeśli atrybucja się potwierdzi, oznaczałoby to, że seria ataków supply chain na narzędzia deweloperskie (VS Code, npm, JDownloader) nie była dziełem przestępczych grup finansowych, lecz celową rosyjską operacją wymierzoną w zachodnie ekosystemy programistyczne. Dochodzenie jest w toku.
Źródło: CyberDefence24 [PL]
🚨 INCYDENTY
FortiClient EMS — krytyczna luka aktywnie eksploitowana do instalacji infostealerów
Security Affairs i BleepingComputer potwierdzają aktywną eksploatację CVE-2026-35616 w FortiClient EMS (Enterprise Management Server) — centralnym komponencie do zarządzania flotą urządzeń zabezpieczonych przez Fortinet. Podatność pozwala atakującemu nieuwierzytelnionemu zdalnie wykonać kod, a napastnicy błyskawicznie wsuwają przez nią infostealery kradnące dane dostępowe z systemów zarządzanych przez FortiClient. Fortinet wydał łatkę — organizacje korzystające z tego rozwiązania powinny zaktualizować niezwłocznie, bo okno eksploatacji jest już otwarte.
Źródło: Security Affairs [EN], BleepingComputer [EN]
Gogs zero-day — krytyczna luka RCE w popularnej samohostedowanej alternatywie dla GitHuba
BleepingComputer i The Hacker News opisują krytyczną podatność zero-day w Gogs — popularnym open source'owym systemie do hostowania repozytoriów Git, będącym alternatywą dla GitHub dla organizacji chcących trzymać kod "u siebie". Luka pozwala na zdalne wykonanie kodu bez żadnego uwierzytelnienia. Gogs jest szeroko stosowany przez firmy, uczelnie i organizacje rządowe pragnące pełnej kontroli nad kodem — przejęcie serwera Gogs daje atakującemu dostęp do całego kodu, pipeline'ów CI/CD i sekretów przechowywanych w repozytoriach. Łatka nie jest jeszcze dostępna — administratorzy powinni tymczasowo ograniczyć dostęp do Gogs wyłącznie z zaufanych adresów IP.
Źródło: BleepingComputer [EN], The Hacker News [EN]
CERT Polska ostrzega: krytyczne podatności w kliencie pocztowym Roundcube
CERT Polska opublikował alert dotyczący krytycznych podatności w Roundcube — jednym z najpopularniejszych webowych klientów poczty e-mail, używanym przez setki tysięcy organizacji na całym świecie, w tym wiele polskich firm i instytucji. Luki umożliwiają atakującemu wykonanie złośliwego kodu po stronie serwera lub przejęcie konta ofiary przez spreparowany e-mail. Roundcube jest szczególnie popularny wśród mniejszych hostingodawców i uczelni. Administratorzy korzystający z Roundcube powinni natychmiast zaktualizować do wersji z łatką.
Źródło: CERT Polska / moje.cert.pl [PL]
💡 CIEKAWOSTKI
19,6 miliarda plików dostępnych bez hasła w internecie — skala szokuje badaczy
Badacze z Cybernews przeprowadzili masowe skanowanie internetu i zliczyli otwarte zasoby bez jakiegokolwiek uwierzytelnienia: znaleźli 19,6 miliarda plików dostępnych publicznie — bazy danych, dokumenty firmowe, backupy, zdjęcia, dane medyczne, logi systemowe i inne. Najczęstsze przyczyny: błędna konfiguracja bucketów S3, publiczne serwery FTP i serwery plików z zapomnianymi regułami dostępu. Wiele z tych plików zawiera dane osobowe i poufne informacje biznesowe. Raport podkreśla, że problem "otwartych bucketów" jest permanentny i nieunikniony przy rosnącej adopcji chmury bez równoległego wzrostu świadomości bezpieczeństwa konfiguracji.
Źródło: Security Affairs [EN]
Pracownik Google zarobił milion, handlując na Polymarket przed ogłoszeniami AI
Tech.wp.pl i CyberScoop opisują bezprecedensową sprawę: inżynier Google pracujący przy projekcie AI został oskarżony o insider trading — handlował na platformie Polymarket (rynek predykcji) zakładami o wyniki projektów AI firmy, mając z racji swojej pracy dostęp do informacji niejawnych. Zarobił w ten sposób ponad milion dolarów. Przypadek otwiera zupełnie nowy wymiar problemu insider threat w sektorze AI: poufna wiedza o postępach technologicznych może być monetyzowana poza tradycyjnymi rynkami finansowymi — w nowych, słabiej regulowanych przestrzeniach blockchain. Google wszczął postępowanie dyscyplinarne.
Źródło: Tech.wp.pl [PL], CyberScoop [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
JINX-0164 (Lazarus) atakuje firmy kryptowalutowe przez macOS z fałszywymi wersjami narzędzi
The Hacker News i Infosecurity Magazine opisują nową kampanię grupy JINX-0164, powiązanej z Lazarusem (Korea Północna): hakerzy atakują developerów i pracowników firm kryptowalutowych na macOS przez trojany ukryte w fałszywych wersjach popularnych narzędzi developerskich (linters, testowanie, CLI). Po infekcji malware kradnie portfele krypto, klucze SSH i tokeny dostępowe. Kampania jest szczególnie precyzyjna — celuje wyłącznie w osoby z dostępem do środowisk produkcyjnych i funduszy krypto. MacOS długo był uważany za bezpieczniejszy od Windowsa — seria kampanii Lazarusa w 2026 roku obalają ten mit.
Źródło: The Hacker News [EN], Infosecurity Magazine [EN]
7-Zip z podatnością na NTFS heap overflow — popularne narzędzie archiwizacji zagrożone
Kapitan Hack opisuje nowo odkrytą podatność w 7-Zip — jednym z najpowszechniej używanych darmowych narzędzi do archiwizacji i kompresji plików. Luka polega na błędzie heap overflow przy przetwarzaniu plików archiwum umieszczonych na woluminach NTFS — specjalnie spreparowany plik ZIP lub 7z może uruchomić złośliwy kod po jego otwarciu. 7-Zip jest zainstalowany na miliardach komputerów — atakujący mógłby łatwo dystrybuować spreparowane archiwum np. jako "darmowe narzędzie" lub "crackowany program". Łatka jest dostępna w najnowszej wersji — aktualizacja jest obowiązkowa.
Źródło: Kapitan Hack [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Nowa faza cyberwojny — Rosja i Chiny szykują skoordynowane uderzenie w infrastrukturę Zachodu
CyberDefence24 cytuje raport analityków wskazujący, że Rosja i Chiny skoordynowały swoje cyberoperacje na nowym, strategicznym poziomie — planując skojarzone uderzenie w infrastrukturę krytyczną krajów zachodnich w scenariuszu eskalaacji. Obie grupy APT dzielą się narzędziami, infrastrukturą i taktykami, co komplikuje atrybucję i zwiększa zdolności ofensywne każdej z nich. Polska jako frontowe państwo NATO jest bezpośrednio wskazywana jako potencjalny cel eskalacji. Raport ma charakter wywiadowczy — jego źródła pozostają niejawne.
Źródło: CyberDefence24 [PL]
Pracownicy ZondaCrypto szkolili polskich mundurowych — nowe pytania o bezpieczeństwo służb
Infosecurity24.pl ujawnia, że pracownicy ZondaCrypto — polskiej giełdy kryptowalut, która znalazła się w centrum afery dotyczącej potencjalnych rosyjskich wpływów (opisanej w poprzednich wydaniach) — prowadzili szkolenia z cyberbezpieczeństwa dla pracowników Krajowej Administracji Skarbowej. Fakt, że osoby z firmy podejrzewanej o powiązania z rosyjskim FSB miały dostęp do szkolenia polskich służb fiskalnych, rodzi poważne pytania o możliwość kompromitacji informacyjnej lub instalacji tylnych drzwi w systemach KAS. Organy ścigania badają tę kwestię.
Źródło: Infosecurity24.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 28 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.