Ostatnie 7 dni to brutalne przypomnienie, że infrastruktura krytyczna i systemy edukacyjne są na celowniku grup powiązanych z państwami oraz zorganizowanych cyberprzestępców. Od krytycznych luk w firewallach, przez masowe kradzieże danych studentów, aż po pierwsze unijne kary w ramach NIS2 – oto najważniejsze fakty.

Krytyczna luka Zero-Day w Palo Alto Networks (CVE-2026-0300)

• • Co się stało? Wykryto podatność typu buffer overflow w portalu uwierzytelniania User-ID w firewallach serii PA i VM. Atakujący mogą zdalnie wykonać kod (RCE) z uprawnieniami roota bez uwierzytelnienia.

  • Dlaczego to jest ważne? Luka jest aktywnie wykorzystywana przez grupę CL-STA-1132 (prawdopodobnie powiązaną z Chinami). Pozwala na całkowite przejęcie kontroli nad brzegiem sieci firmy.

  • Jak się chronić? Do czasu wydania pełnej łaty (zapowiedzianej na 13 maja), ogranicz dostęp do portalu User-ID tylko do zaufanych adresów IP lub całkowicie go wyłącz.

Atak na platformę Canvas (Instructure) – 275 milionów rekordów

• Co się stało? Grupa ShinyHunters uderzyła w giganta LMS. Wyciekły dane z 8 809 instytucji edukacyjnych, w tym imiona, maile, numery ID oraz treść prywatnych wiadomości między nauczycielami a uczniami.

• Dlaczego to jest ważne? To prawdopodobnie największy wyciek w historii sektora edukacji. Skradzione dane posłużą do masowych kampanii phishingowych targetowanych pod konkretne uczelnie.

• Jak się chronić? Użytkownicy Canvas powinni natychmiast zmienić hasła i włączyć MFA (jeśli jeszcze tego nie zrobili). Firmy EdTech muszą zrewidować dostęp do środowisk chmurowych (Snowflake/BigQuery).

Fala ataków ShinyHunters na Udemy i Vimeo

• • Co się stało? Ta sama grupa, która zaatakowała Canvas, przejęła dane 1,4 mln użytkowników Udemy oraz bazę metadanych i e-maili z Vimeo.

  • Dlaczego to jest ważne? Atakujący celują w „pośredników” danych i platformy SaaS, wykorzystując luki w konfiguracji usług chmurowych firm trzecich.

  • Jak się chronić? Weryfikuj uprawnienia API oraz monitoruj logowania do firmowych kont na platformach zewnętrznych.

NIS2: Pierwsze audyty i kary finansowe w UE

• • Co się stało? Maj 2026 to moment, w którym organy nadzorcze w krajach UE rozpoczęły zapowiedziane audyty zgodności z dyrektywą NIS2.

  • Dlaczego to jest ważne? Skończył się czas na „przygotowania”. Pierwsze podmioty otrzymały kary za brak udokumentowanych procesów raportowania incydentów.

  • Jak się chronić? Upewnij się, że Twój system raportowania incydentów działa w czasie rzeczywistym i spełnia wymogi krajowe transponujące NIS2.

Luka w Microsoft Edge eksponująca hasła (Plaintext)

• • Co się stało? Badacze odkryli, że w określonych warunkach Edge przechowuje hasła w formie jawnego tekstu w pamięci procesów, co Microsoft skomentował jako działanie „zgodne z projektem” (by design).

  • Dlaczego to jest ważne? Lokalny malware może z łatwością wykraść wszystkie zapisane poświadczenia bez łamania szyfrowania.

  • Jak się chronić? Korzystaj z zewnętrznych managerów haseł (np. Bitwarden, 1Password) zamiast wbudowanych funkcji przeglądarki.

Kampania „GovTrap”: 11 000 fałszywych portali rządowych

• • Co się stało? Wykryto globalną operację wymierzoną w obywateli, polegającą na tworzeniu klonów stron urzędowych w celu wyłudzania danych logowania i podatkowych.

  • Dlaczego to jest ważne? Skala operacji sugeruje użycie zautomatyzowanych narzędzi AI do generowania wiarygodnych treści w wielu językach.

  • Jak się chronić? Zawsze sprawdzaj certyfikat SSL i domenę (np. .gov.pl). Rządowe systemy nigdy nie proszą o hasło przez SMS.

Wyciek danych w Navia – 2,7 miliona poszkodowanych

• • Co się stało? Przez źle zabezpieczone API wyciekły numery Social Security, dane medyczne i finansowe klientów Navia Benefit Solutions.

  • Dlaczego to jest ważne? To klasyczny przykład braku kontroli nad bezpieczeństwem interfejsów programistycznych, które są obecnie głównym wektorem wycieków.

  • Jak się chronić? Wprowadź regularne testy penetracyjne API i zasadę Zero Trust dla wszystkich wywołań zewnętrznych.

Ransomware uderza w dwa duże banki w USA przez dostawcę IT

• • Co się stało? Atak typu Supply Chain. Przejęcie dostawcy oprogramowania pozwoliło hakerom na dostęp do systemów bankowych i kradzież danych klientów.

  • Dlaczego to jest ważne? Nawet najlepiej zabezpieczona firma jest tak silna, jak jej najsłabszy dostawca.

  • Jak się chronić? Weryfikuj standardy cyberbezpieczeństwa swoich kontrahentów. Wymagaj od nich audytów SOC2.

Masowa sieć scamów AI (15 500 domen)

• • Co się stało? Wykryto gigantyczną sieć promującą fałszywe inwestycje w AI, wykorzystującą deepfake’y znanych postaci ze świata finansów.

  • Dlaczego to jest ważne? Manipulacja psychologiczna osiągnęła poziom, w którym odróżnienie prawdziwego nagrania od wygenerowanego jest niemożliwe dla przeciętnego użytkownika.

  • Jak się chronić? Stosuj zasadę ograniczonego zaufania do „okazji inwestycyjnych” z mediów społecznościowych.

Luka RCE w systemie Android (Majowe poprawki)

• • Co się stało? Google wydało krytyczną poprawkę dla luki umożliwiającej zdalne wykonanie kodu przez specjalnie spreparowany plik multimedialny.

  • Dlaczego to jest ważne? Atak nie wymaga interakcji użytkownika (tzw. zero-click).

  • Jak się chronić? Natychmiast zaktualizuj system Android do najnowszej wersji dostępnej dla Twojego modelu.

Zakończenie: Wydarzenia tego tygodnia pokazują, że największym zagrożeniem pozostają luki Zero-Day w sprzęcie sieciowym oraz błędy w konfiguracji chmury. Sprawdź dostępność aktualizacji dla swoich firewalli i systemów operacyjnych już teraz – to Twoja pierwsza linia obrony.

Wypełnij formularz, a w ciągu 24h skontaktujemy się z Tobą w sprawie audytu Twojej strony www, firmy lub instytucji.

Dlaczego warto zamówić audyt cyberbezpieczeństwa?

Twoja strona www, poczta i systemy IT to serce Twojego biznesu lub instytucji. Wystarczy jedna luka bezpieczeństwa, by dane klientów, uczniów czy beneficjentów trafiły w niepowołane ręce.

Audyt cyberbezpieczeństwa White Cyber pozwoli Ci:

• sprawdzić zabezpieczenia strony www, systemów i procesów,

• wykryć błędy konfiguracyjne i luki w politykach bezpieczeństwa,

• otrzymać raport ryzyk i plan napraw 30/60/90 dni,

• przygotować się na wymagania RODO, NIS2 i ISO 27001.

Co się dzieje po wypełnieniu formularza?

1. W ciągu 24 godzin skontaktujemy się z Tobą telefonicznie lub mailowo.
2. Ustalimy zakres audytu (podstawowy – strona www, lub rozszerzony – cała organizacja).
3. Po audycie otrzymasz raport i gotowe rekomendacje działań.

Nie ryzykuj kar i utraty reputacji. Zabezpiecz swoją organizację z White Cyber.