🔐 Cyber Security Daily News | 26.06.2026
🔐 Cyber Security Daily News | 26.06.2026
Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
📰 NEWS
Kulisy kampanii FortiBleed — prawie 74 000 przejętych urządzeń Fortinet, anatomia największego wycieku sieciowego 2026
Sekurak publikuje najobszerniejszą polskojęzyczną analizę techniczną kampanii FortiBleed: szczegółowy opis tego, jak atakujący przez dłuższy czas systematycznie eksploatowali podatności w urządzeniach FortiGate, zbierając dane uwierzytelniające, zanim opublikowali gigantyczną bazę prawie 74 000 przejętych urządzeń. Artykuł opisuje wektor ataku, typy zbieranych danych (hashe, klucze sesji, certyfikaty, konfiguracje VPN), geografię ofiar i grupę stojącą za kampanią. To lektura obowiązkowa dla wszystkich administratorów sieci — niezależnie od tego, czy używają Fortinetu, jako studium technik stosowanych przy masowych kompromitacjach urządzeń sieciowych.
Źródło: Sekurak [PL]
CBZC z pomocą FBI — 4 zatrzymanych za cyberprzestępstwa i kradzież kilkudziesięciu milionów złotych
CRN.pl, CyberDefence24 i Dobreprogramy relacjonują skoordynowaną operację Centralnego Biura Zwalczania Cyberprzestępczości we współpracy z amerykańskim FBI: zatrzymano cztery osoby — liderów grupy, która przez wiele miesięcy włamywała się na konta bankowe i inne serwisy finansowe, okradając Polaków na łączną sumę kilkudziesięciu milionów złotych. Zatrzymani stosowali zaawansowane techniki: phishing, przejęcia kont przez stolen credentials i automatyczne transfery do "kont słupów". Współpraca CBZC z FBI jest kolejnym sygnałem, że polska cyberpolicja aktywnie buduje zdolności do ścigania cyberprzestępczości w wymiarze transatlantyckim.
Źródło: CRN.pl [PL], Dobreprogramy [PL]
Senat RP przyjął ustawę o patostreaming — koniec z bezkarną brutalną rozrywką w sieci
CyberDefence24 informuje: Senat Rzeczypospolitej Polskiej przyjął ustawę wprowadzającą przepisy karne penalizujące patostreaming — transmisje internetowe zawierające przemoc, poniżanie ludzi i inne treści naruszające godność ludzką dla zysku lub popularności. Ustawa była procedowana od miesięcy i spotkała się z aprobatą środowisk ochrony praw dzieci i psychologów. Twórcy patostreamów odpowiedzą teraz karnie, a platformy udostępniające takie treści będą zobowiązane do ich usuwania i raportowania. Ustawa czeka na podpis Prezydenta.
Źródło: CyberDefence24 [PL]
🚨 INCYDENTY
Cyberatak na dolnośląskie miasto — zaszyfrowane dane, możliwy wyciek danych mieszkańców
CyberDefence24 informuje o poważnym incydencie cyberbezpieczeństwa w dolnośląskiej jednostce samorządu terytorialnego: systemy informatyczne urzędu zostały zaatakowane ransomware, zaszyfrowano dane, a atakujący grożą ich ujawnieniem w przypadku nieuiszczenia okupu. Incydent może objąć dane osobowe mieszkańców, dokumenty administracyjne i korespondencję urzędową. Trwa dochodzenie CBZC i analiza CERT Polska. Atak jest kolejnym w serii wymierzonych w polskie samorządy — co potwierdza systemowy deficyt cyberbezpieczeństwa w administracji lokalnej.
Źródło: CyberDefence24 [PL]
FIFA i Broken Access Control — jak konto bez uprawnień uzyskało dostęp do systemów MŚ 2026
Kapitan Hack opisuje techniczną analizę podatności Broken Access Control odkrytej w systemach informatycznych FIFA podczas Mistrzostw Świata 2026: konto użytkownika o minimalnych uprawnieniach (pracownik pomocniczy) mogło przez błąd weryfikacji ról uzyskać dostęp do poufnych zasobów systemów administracyjnych turnieju — w tym danych akredytacyjnych, harmonogramów logistycznych i konfiguracji bezpieczeństwa stadionów. Badacz odpowiedzialnie zgłosił podatność przez program bug bounty FIFA przed jej eksploatacją przez złośliwych aktorów. Artykuł jest cenną lekcją o niedocenianej klasie podatności w systemach zarządzania tożsamością i uprawnieniami (IAM).
Źródło: Kapitan Hack [PL]
Luka w macOS XPC pozwala wyłączyć EDR i MDM — krytyczna słabość ekosystemu Apple
Infosecurity Magazine opisuje nową podatność w mechanizmie XPC (Inter-Process Communication) systemu macOS, która umożliwia procesowi z ograniczonymi uprawnieniami komunikację z procesami systemowymi i potencjalne wyłączenie komponentów EDR (Endpoint Detection and Response) i MDM (Mobile Device Management). To szczególnie poważne, bo XPC jest fundamentalnym mechanizmem komunikacji między procesami w macOS — a systemy zarządzania urządzeniami i ochrony punktów końcowych działają właśnie na jego bazie. Apple jest powiadomiony i pracuje nad łatką.
Źródło: Infosecurity Magazine [EN]
💡 CIEKAWOSTKI
Война o routery — USA i Europa stawiają na własną technologię sieciową
Virtual-IT.pl opisuje rosnący trend geopolityczny w obszarze infrastruktury sieciowej: USA i Europa coraz aktywniej ograniczają dostęp chińskiego sprzętu sieciowego (routerów, switchy, urządzeń SD-WAN) do swoich infrastruktur krytycznych i rządowych. Po ograniczeniach wobec Huawei i ZTE, teraz coraz więcej krajów wprowadza wymogi "buy domestic" lub "buy trusted allied" dla sprzętu sieciowego. Artykuł pyta o implikacje dla polskich firm i administracji — i czy Polska ma szanse zbudować własne zdolności produkcyjne w tym obszarze.
Źródło: Virtual-IT.pl [PL]
Rozszerzenie Chrome z 10 milionami instalacji szpiegowało użytkowników — reklamy zamiast blokowania
The Hacker News ujawnia: popularne rozszerzenie do Chrome oferujące blokowanie reklam, które zgromadziło ponad 10 milionów instalacji, było przez długi czas zbierać dane o zachowaniu użytkowników i przesyłać je do zewnętrznych podmiotów — zamiast chronić prywatność, aktywnie ją naruszało. Rozszerzenie było wysoko oceniane i reklamowane jako pro-prywatność, co czyni odkrycie szczególnie cyniczne. Google usunęło je ze sklepu po otrzymaniu raportu. To kolejny przykład zasady: ufaj, lecz weryfikuj — nawet popularne i pozornie bezpieczne narzędzia wymagają weryfikacji.
Źródło: The Hacker News [EN]
🎣 OSZUSTWA, SCAMY, EXPLOITY
Fałszywe SMS-y o Apple Pay — CERT Orange ostrzega użytkowników iPhone'ów, kampania trwa
Dobreprogramy i Instalki ostrzegają przed aktywną kampanią SMS-ową ukierunkowaną na polskich użytkowników iPhone'ów: fałszywe wiadomości informują o "nieautoryzowanej płatności Apple Pay" lub "konieczności weryfikacji karty w portfelu Apple" z linkiem do fałszywej strony logowania Apple ID. Po podaniu danych i kodu weryfikacyjnego atakujący przejmują konto Apple ID — które daje dostęp do iCloud, zakupów w App Store i potencjalnie do innych połączonych usług.
Źródło: Dobreprogramy [PL], Instalki.pl [PL]
BlueKit — nowy phishing kit z Browser-in-the-Middle omijający MFA przez kradzież sesji
BleepingComputer opisuje BlueKit — nową platformę phishingową w modelu PhaaS, która implementuje technikę Browser-in-the-Middle (BitM): zamiast klasycznego phishingu zbierającego hasła, tworzy pełną przezroczystą proxy między ofiarą a prawdziwą stroną banku lub usługi. Ofiara widzi i obsługuje autentyczną stronę (z prawdziwym certyfikatem, prawdziwym wyglądem, prawdziwymi funkcjami), lecz wszystkie jej działania są przechwytywane — w tym tokeny sesji po uwierzytelnieniu MFA. BlueKit omija praktycznie wszystkie tradycyjne formy 2FA.
Źródło: BleepingComputer [EN]
Fałszywe e-maile o odnowieniu domeny wyłudzają pieniądze od właścicieli stron internetowych
Malwarebytes opisuje klasyczny, lecz skuteczny schemat: właściciele domen internetowych (firm, sklepów, organizacji) otrzymują profesjonalnie wyglądające e-maile ostrzegające o "wygasaniu domeny" i konieczności "pilnego odnowienia" przez link w wiadomości. Strona prowadzi do fałszywego panelu płatności zbierającego dane karty. Właściciele firm często mają setki lub tysiące domen i mogą nie pamiętać dokładnych terminów wygaśnięcia — co czyni ich podatnymi na tę metodę presji czasowej. Sprawdzaj terminy domeny wyłącznie u swojego rejestratora.
Źródło: Malwarebytes [EN]
🌐 DEZINFORMACJA, CYBER ВОЙНА
Rosja używa Cellebrite do hackowania telefonów opozycjonistów i aktywistów
CyberScoop ujawnia: rosyjskie służby bezpieczeństwa używają narzędzi izraelskiej firmy Cellebrite — przeznaczonych dla organów ścigania do ekstrakcji danych z telefonów — do hackowania urządzeń mobilnych opozycjonistów, aktywistów i krytyków Kremla, zarówno wewnątrz Rosji, jak i za granicą. Cellebrite oficjalnie zakazuje użycia swoich produktów przez rosyjskie służby, lecz narzędzia trafiają do Rosji przez pośredników. Przypadek powtarza wzorzec znany z Pegasusa: legalne narzędzia śledcze stosowane do inwigilacji politycznej osób, które nie są kryminalistami.
Źródło: CyberScoop [EN]
CERT Orange: Dlaczego publikowanie zdjęć dzieci ze świadectwem to zły pomysł — cyfrowa higiena rodziców
CERT Orange Polska opublikował ważny artykuł edukacyjny skierowany do rodziców: dlaczego fotografie dzieci ze świadectwem szkolnym publikowane w mediach społecznościowych są ryzykowne. Świadectwo zawiera: imię i nazwisko dziecka, adres szkoły, klasę, numer ucznia i imiona opiekunów — komplet danych, które w rękach przestępcy mogą posłużyć do podszywania się pod szkołę w oszustwach "na nauczyciela", wyłudzania danych rodziców lub budowania profilu dziecka do celów stalkerskich. To sezonowy, lecz ważny apel dokładnie w czasie zakończenia roku szkolnego.
Źródło: CERT Orange Polska [PL]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 25 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
Leave 🔐 Cyber Security Daily News | 26.06.2026 to:
Read more #polish posts
Best Posts From lesiopm2
We have not curated any of lesiopm2's posts yet. But you can encourage our curation team to review posts by visiting them regularly and by referring other readers. Because we give priority to frequently read content.
More Posts From lesiopm2
- 🔐 Cyber Security Daily News | 05.07.2026
- 🔐 Cyber Security Daily News | 04.07.2026
- 🔐 Cyber Security Daily News | 03.07.2026
- 🔐 Cyber Security Daily News | 02.07.2026
- 🔐 Cyber Security Daily News | 01.07.2026
- 🔐 Cyber Security Daily News | 30.06.2026
- 🔐 Cyber Security Daily News | 26.06.2026
- 🔐 Cyber Security Daily News | 25.06.2026
- 🔐 Cyber Security Daily News | 24.06.2026
- 🔐 Cyber Security Daily News | 22.06.2026
- 🔐 Cyber Security Daily News | 21.06.2026
- 🔐 Cyber Security Daily News | 20.06.2026
- 🔐 Cyber Security Daily News | 19.06.2026
- 🔐 Cyber Security Daily News | 18.06.2026
- 🔐 Cyber Security Daily News | 17.06.2026
- 🔐 Cyber Security Daily News | 16.06.2026
- 🔐 Cyber Security Daily News | 15.06.2026
- 🔐 Cyber Security Daily News | 14.06.2026
- 🔐 Cyber Security Daily News | 13.06.2026
- 🔐 Cyber Security Daily News | 12.06.2026