🔐 Cyber Security Daily News | 30.05.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Nadpis SMS „mObywatel" zastrzeżony dopiero 11 maja — dlaczego aż dwa lata za późno?
CyberDefence24 stawia zasadne pytanie: 11 maja br. Centralny Ośrodek Informatyki zastrzegł 58 nadpisów SMS — zrobiono to ponad dwa lata po wystartowaniu systemu oraz tuż po kampanii wykorzystującej nadpis „mObywatel". Zastrzeżenie nadpisu SMS (sender ID) uniemożliwia przestępcom podszywanie się pod daną nazwę w wiadomościach — bez takiej ochrony każdy mógł wysyłać SMS-y, które wyglądały identycznie jak komunikaty rządowe. Kampania phishingowa z fałszywymi mandatami w imieniu "mObywatel", którą opisywaliśmy w maju, dotknęła tysięcy Polaków — bo SMS z tym nadpisem trafiał do tego samego wątku co autentyczne wiadomości z aplikacji. Decyzja o zastrzeżeniu zapadła reaktywnie — dopiero gdy wyrządzono szkody. COI zastrzegł łącznie 58 ważnych nadpisów; rodzi się pytanie, dlaczego nie zrobiono tego z chwilą uruchomienia mObywatela.
Źródło: CyberDefence24 [PL]
Charter Communications: naruszenie dotyczy 49 milionów kont — korekta szacunków in plus
BleepingComputer ujawnia, że skala wycieku danych Charter Communications (Spectrum) jest dramatycznie większa niż początkowo informowano: atak ShinyHunters dotknął niemal 49 milionów kont klientów — ośmiokrotnie więcej niż wcześniejsze szacunki. Naruszenie obejmuje dane osobowe, adresy e-mail, numery kont i historię płatności. Charter to jeden z największych dostawców telewizji kablowej i internetu w USA z dziesiątkami milionów abonentów. Korekta szacunków "in górę" po upływie doby to typowy wzorzec przy dużych incydentach — firmy zwykle zaniżają skalę na początku. Klienci Spectrum powinni monitorować konta bankowe i zachować czujność wobec phishingu.
Źródło: BleepingComputer [EN]
CISA ostrzega: ataki supply chain na NX Console i repozytoria GitHub — nowe zhakowane narzędzia deweloperskie
CISA wydała specjalny alert dotyczący ataków supply chain na NX Console — popularne narzędzie do monitorowania i zarządzania środowiskiem monorepozytoriów Nx — oraz kilka repozytoriów GitHub. Zhakowane narzędzia były dystrybuowane z backdoorami przez oficjalne kanały. To kontynuacja falowej aktywności ataków supply chain obserwowanej przez cały maj 2026 roku — po DAEMON Tools, JDownloader, TanStack, Bitwarden CLI, teraz NX Console. Każdy, kto korzysta z NX Console, powinien sprawdzić integralność zainstalowanej wersji.
Źródło: CISA [EN]
🚨 INCYDENTY
Holenderska policja likwiduje botnet z 17 milionami zainfekowanych urządzeń
W odrębnej operacji od niedawnej likwidacji rosyjskiej infrastruktury bulletproof, holenderska policja z pomocą europejskich partnerów rozbiła ogromny botnet złożony z niemal 17 milionów zainfekowanych urządzeń — głównie domowych routerów, kamer IoT i telefonów z Androidem. Botnet był używany do prowadzenia ataków DDoS, dystrybucji spamu i jako proxy dla innych operacji przestępczych. Ofiary — właściciele zainfekowanych urządzeń — nie byli świadomi, że ich sprzęt pracował dla przestępców. Holenderskie NCSC wysyła powiadomienia do właścicieli zainfekowanych urządzeń z instrukcją dezynfekcji.
Źródło: BleepingComputer [EN], The Register [EN]
Kimsuky wdraża HTTPSpy — nowe narzędzie szpiegujące szyfrowany ruch HTTPS
The Hacker News opisuje nowe narzędzie grupy Kimsuky (Korea Północna): HTTPSpy to implant instalowany na zainfekowanych maszynach z możliwością przechwytywania szyfrowanego ruchu HTTPS poprzez wstrzyknięcie się w warstwę TLS przed szyfrowaniem, czyli przed wysłaniem pakietów przez przeglądarkę lub aplikację. Celem jest pokonanie szyfrowania end-to-end od środka — zamiast łamać szyfrowanie, HTTPSpy czyta dane zanim zostaną zaszyfrowane. Kampania celuje w decydentów rządowych i korporacyjnych w Korei Południowej, USA i Europie.
Źródło: The Hacker News [EN]
💡 CIEKAWOSTKI
Claude Opus 4.8 ogłoszony — Anthropic prezentuje nowy model z zaawansowanymi zdolnościami bezpieczeństwa agentów
Anthropic ogłosiło Claude Opus 4.8 — nową wersję swojego flagowego modelu, która ma znacząco ulepszone możliwości w zakresie rozumowania i bezpieczeństwa agentów AI. Zgodnie z zapowiedzią model jest wyposażony w "Constitutional AI 2.0" — ulepszoną warstwę wartości ograniczającą ryzyko niepożądanych zachowań autonomicznych agentów. Opus 4.8 jest testowany szczególnie pod kątem zastosowań wymagających wysokiego zaufania: zarządzania infrastrukturą krytyczną, autonomicznego kodowania i długoterminowego planowania zadań.
Źródło: Help Net Security [EN]
Badanie 2000 vibe-coded aplikacji — większość ma poważne luki, wiele z krytycznymi podatnościami
The Hacker News opisuje badanie przeprowadzone na 2000 publicznie dostępnych aplikacji stworzonych metodą "vibe coding" (przez AI bez tradycyjnego procesu programistycznego): ponad 60% zawierało co najmniej jedną krytyczną lukę bezpieczeństwa, w tym nieautoryzowany dostęp do API, słabe zarządzanie sesjami i brak walidacji danych wejściowych. Wyniki potwierdzają obawy ekspertów: AI generuje sprawnie działający kod, ale bez wiedzy o bezpieczeństwie — produkuje aplikacje podatne na ataki, które ich twórcy często wdrażają bez żadnego audytu.
Źródło: The Hacker News [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Rosja (GreyVibe) używa ChatGPT do budowania pełnych kampanii ataków — od wabia do payloadu
The Register i The Hacker News opisują przełomowy raport: rosyjska grupa APT GreyVibe jako pierwsza dokumentalnie potwierdzona użyła ChatGPT do zbudowania kompletnej kampanii ataków cybernetycznych — od generowania wiarygodnych phishingowych e-maili dostosowanych do ofiar, przez tłumaczenie treści na lokalne języki, po opracowanie kodu exploitującego. Ataki były skierowane na instytucje rządowe w Europie. To materializacja długo omawianych obaw: modele językowe jako "sztab operacyjny" dla grup przestępczych. ChatGPT i inne LLM mają zabezpieczenia — ale ich omijanie (przez promptowanie wieloetapowe, role-playing, podział zadań) jest coraz lepiej opanowane przez APT.
Źródło: The Register [EN], The Hacker News [EN]
Phishing kradnący kopie zapasowe Signala — atakujący chcą całej historii konwersacji
Malwarebytes i CyberDefence24 opisują kampanię phishingową ukierunkowaną na użytkowników Signala z nieco innym celem niż przejęcie konta: przestępcy wyłudzają dane uwierzytelniające do systemu kopii zapasowych Signala (Signal Backup on Storage), by pobrać pełną historię zaszyfrowanych konwersacji ofiary. Wiadomości phishingowe informują o "ważnej aktualizacji zabezpieczeń" wymagającej potwierdzenia. Skradzione kopie zapasowe zawierają całą historię — wiadomości, zdjęcia, pliki — z całego okresu używania aplikacji. Dla osób publicznych i dziennikarzy jest to szczególnie poważne zagrożenie.
Źródło: Malwarebytes [EN], CyberDefence24 [PL]
Kapitan Hack: fałszywe Claude i ChatGPT infekują przez SEO poisoning — instalatory z backdoorami
Kapitan Hack informuje o nasilonej kampanii SEO poisoning, w której przestępcy pozycjonują złośliwe strony na czołowych miejscach wyników wyszukiwarek dla zapytań "pobierz ChatGPT", "instaluj Claude", "Claude Code". Strony wyglądają profesjonalnie i oferują "najnowsze wersje" — w rzeczywistości instalatory zawierają złośliwe oprogramowanie. Kampania szczególnie celuje w polskojęzycznych użytkowników: są strony z polskim interfejsem i polską wersją wsparcia technicznego, co świadczy o precyzyjnym targetowaniu. Oficjalne źródła: claude.ai i chat.openai.com — nigdzie indziej.
Źródło: Kapitan Hack [PL]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Test Cyberlegionu — polscy żołnierze ćwiczą przejmowanie dronów i cyberobronę w warunkach bojowych
CyberDefence24 relacjonuje ważne ćwiczenia operacyjne polskiego Cyberlegionu — specjalnej jednostki Wojska Polskiego działającej na pograniczu cyberprzestrzeni i pola walki. W testach sprawdzano m.in. zdolności do zakłócania i przejmowania wrogich dronów przez ataki na ich infrastrukturę komunikacyjną, a także cyberobronę systemów dowodzenia w warunkach aktywnego ataku. Ćwiczenia pokazały zarówno silne strony, jak i obszary wymagające dalszego rozwoju. Polska Cyberprzestrzeń rozbudowuje zdolności odpowiadające nowej doktrynie, gdzie granica między atakiem kinetycznym a cyberatakiem praktycznie nie istnieje.
Źródło: CyberDefence24 [PL]
Infosecurity24: polskie służby specjalne pod rosyjską lupą — co wiedzą o nas Rosjanie?
Infosecurity24.pl publikuje analizę: rosyjskie służby wywiadowcze systematycznie i szczegółowo badają polskie służby specjalne — ich strukturę, kadry, zdolności i słabości. Autorzy opisują, jakie metody Rosja stosuje do pozyskiwania danych wywiadowczych o polskich organach bezpieczeństwa: od klasycznej agentury, przez cyberszpiegostwo, po analizę otwartych źródeł (OSINT). Artykuł stawia tezę, że Rosja wie o polskich służbach znacznie więcej, niż jest to publicznie przyznawane, co w środowisku wysokich napięć geopolitycznych jest poważnym zagrożeniem operacyjnym.
Źródło: Infosecurity24.pl [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 29 maja 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.