Archiwa: Phishing - Strona 108 z 111 - Security Bez Tabu

Tag: Phishing

Dairy Farmers of America potwierdza wyciek danych po ataku ransomware. Co wiemy i co robić?

Wprowadzenie do problemu / definicja luki

Dairy Farmers of America (DFA) — jedna z największych spółdzielni mleczarskich w USA — potwierdziła, że w wyniku czerwcowego (2025) ataku ransomware doszło do wycieku danych osobowych pracowników i członków kooperatywy. Według zgłoszenia do regulatora w stanie Maine, naruszenie obejmowało m.in. imiona i nazwiska, numery Social Security, numery prawa jazdy lub stanowych ID, daty urodzenia, numery rachunków bankowych oraz numery Medicare/Medicaid.

W skrócie

  • Data ataku: czerwiec 2025.
  • Ujawnienie naruszenia: listy do osób poszkodowanych wysłane 14 października 2025 r.; zgłoszenie w Maine tego samego dnia.
  • Skala: 4 546 osób objętych naruszeniem (na ten moment raportowania).
  • Sprawcy: gang ransomware Play (Play/PlayCrypt) przyznał się do ataku.
  • Dane wrażliwe: PII + informacje finansowe i medyczne (zakres wg zgłoszenia).
  • Ochrona dla poszkodowanych: 24 miesiące usług ochrony tożsamości/monitoringu.

Kontekst / historia / powiązania

DFA to spółdzielnia należąca do rolników, zatrudniająca ok. 19 000 osób i odpowiadająca za ok. 23% produkcji mleka w USA — znaczący element łańcucha dostaw żywności. W 2025 r. sektor żywności i rolnictwa jest pod presją rosnącej liczby kampanii ransomware; raporty branżowe wskazują, że liczba incydentów w I kw. 2025 r. była ponad dwukrotnie wyższa niż rok wcześniej.

Analiza techniczna / szczegóły ataku

Według DFA, włamanie rozpoczęło się od zaawansowanej kampanii socjotechnicznej, po której nastąpiła eksfiltracja danych i szyfrowanie zasobów. Identyfikację naruszenia spółdzielnia wskazuje na 2 dni po rozpoczęciu ataku; badanie incydentu zakończono 15 września 2025 r.. Do zdarzenia przyznała się grupa Play, znana z modelu podwójnego wymuszenia (kradzież danych + szyfrowanie) i używania dostępu opartego na skradzionych poświadczeniach oraz exploitach w popularnych produktach (m.in. Fortinet, Microsoft).

TTP grupy Play (najważniejsze punkty wg CSA #StopRansomware):

  • inicjalny dostęp przez skradzione konta i narażone aplikacje publiczne,
  • eksfiltracja porcji danych i ich dzielenie przed wysyłką,
  • brak stałej kwoty okupu w notatce — kontakt przez e-mail,
  • groźba publikacji danych na stronie wycieku (Tor) przy odmowie.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wtórnych nadużyć: zakres danych (SSN, ID, bankowość, Medicare/Medicaid) zwiększa prawdopodobieństwo kradzieży tożsamości, fraudów ubezpieczeniowych i ataków ukierunkowanych (spear-phishing, SIM swap).
  • Zakłócenia operacyjne: ransomware w przemyśle spożywczym skutkuje wstrzymaniem produkcji, problemami logistycznymi i stratami produktów o krótkiej trwałości; statystyki branżowe od miesięcy wskazują na wzrost presji na Food & Ag.
  • Ryzyko systemowe: sektor żywności/rolnictwa klasyfikowany jest jako infrastruktura krytyczna; trend wzrostowy ataków ransomware w 2024–2025 potwierdzają instytucje rządowe i niezależne media.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji z sektora Food & Ag (i nie tylko):

  1. Uwierzytelnianie wieloskładnikowe (MFA) „wszędzie”, z priorytetem dla VPN, poczty i zdalnego dostępu. (Play często korzysta ze skradzionych poświadczeń.)
  2. Przegląd i twarde ograniczenie dostępu zdalnego / RMM. Jeśli używasz narzędzi wsparcia zdalnego, stosuj allow-listy, EDR i segmentację; monitoruj anomalie sesji.
  3. Higiena patchowania dla usług publicznych (Fortinet, Microsoft Exchange/IIS, itp.) + wAF/IPS przed krytycznymi aplikacjami.
  4. Playbook IR pod „double-extortion”: procedury dla wycieku danych (DLP, eDiscovery), komunikacja prawna i PR, gotowe szablony notyfikacji (zgodność z wymogami stanowymi/UE).
  5. Kopia zapasowa 3-2-1 + testy odtwarzania (air-gap / immutability).
  6. Kontrole socjotechniki: szkolenia oparte na scenariuszach (vishing, MFA fatigue), symulacje i polityka „call-back verification”.
  7. Śledzenie wskaźników kompromitacji (IOC) publikowanych w CSA dot. Play; wdrażaj reguły detekcyjne (Sigma/YARA) i bloki sieciowe wg najnowszych aktualizacji.
  8. Minimalizacja danych wrażliwych (retencja, tokenizacja), szyfrowanie danych spoczynkowych i w ruchu, oraz kontrola dostępu opartego na ryzyku.

Dla osób, których dane wyciekły (pracownicy/członkowie):

  • Aktywuj oferowany 24-miesięczny monitoring tożsamości; ustaw alerty kredytowe / zamrożenie kredytu tam, gdzie dostępne.
  • Zmień hasła i włącz MFA w bankowości, portalu ubezpieczeniowym i innych krytycznych usługach; uważaj na phishing podszywający się pod DFA.

Różnice / porównania z innymi przypadkami

Play uderzał wcześniej w instytucje publiczne (np. Oakland, Dallas County) i firmy prywatne; wzorzec jest spójny: początkowy dostęp przez poświadczenia/eksploity, szybka eksfiltracja, presja czasowa na zapłatę i publikacja danych przy odmowie. DFA wpisuje się więc w typowy schemat Play, lecz szczególnie niepokoi profil ofiar — sektor żywności i rolnictwa, gdzie zakłócenia mogą mieć bezpośredni wpływ na łańcuch dostaw.

Podsumowanie / kluczowe wnioski

  • Atak na DFA potwierdza utrzymującą się falę ransomware w Food & Ag oraz gotowość grup przestępczych do uderzania w podmioty o znaczeniu systemowym.
  • Dane osobowe 4 546 osób zostały narażone, a charakter informacji zwiększa ryzyko długotrwałych nadużyć.
  • Organizacje powinny zaktualizować kontrole dostępu, patchowanie i playbooki IR, odnosząc się do najnowszego CSA dla Play.

Źródła / bibliografia

  1. Recorded Future News – The Record: „Dairy Farmers of America confirms June cyberattack leaked personal data” (16 października 2025). (The Record from Recorded Future)
  2. Maine Attorney General (AG Viewer): zgłoszenie naruszenia dla „Dairy Farmers of America Inc.” (data powiadomień: 14 października 2025). (maine.gov)
  3. CISA/FBI/ACSC: #StopRansomware: Play Ransomware – doradztwo techniczne, zaktualizowane 4 czerwca 2025 r. (pierwotnie 18 grudnia 2023 r.). (CISA)
  4. Food and Ag-ISAC: „Q1 2025: Our Newest Ransomware Report Update” – trend wzrostowy ataków w sektorze. (Food and Ag-ISAC)
  5. USDA/DFA (materiał informacyjny): udział DFA w produkcji mleka w USA (ok. 23%). (USDA)

Sotheby’s: incydent naruszenia danych z ekspozycją informacji finansowych (aktualizacja: dotyczy pracowników)

Wprowadzenie do problemu / definicja luki

Dom aukcyjny Sotheby’s poinformował o incydencie bezpieczeństwa wykrytym 24 lipca 2025 r., w wyniku którego z systemów usunięto pewien zakres danych. W dokumentach dla organów stanowych wskazano m.in. na możliwą ekspozycję imion i nazwisk, numerów SSN oraz informacji o rachunkach finansowych. Aktualizacja z 17 października 2025 r.: rzecznik Sotheby’s potwierdził, że incydent dotyczył informacji pracowniczych, a nie danych klientów. Poszkodowanym zaproponowano 12-miesięczny pakiet monitoringu tożsamości (TransUnion).

W skrócie

  • Data wykrycia: 24.07.2025
  • Zakres danych (zgodnie z zawiadomieniami stanowymi): imię i nazwisko, SSN, dane kont finansowych; dokładna skala nieujawniona.
  • Kogo dotyczy: według oficjalnej aktualizacji – pracownicy, nie klienci.
  • Zawiadomienia: m.in. wpis w rejestrze prokuratora generalnego stanu Maine z datą 15.10.2025 r.
  • Wsparcie dla poszkodowanych: 12 miesięcy monitoringu tożsamości / kredytu (TransUnion).

Kontekst / historia / powiązania

Sektor aukcyjny jest od lat na celowniku grup przestępczych – to organizacje posiadające dane HNWI oraz wrażliwe informacje finansowe. W 2024 r. konkurencyjny dom aukcyjny Christie’s został zaatakowany przez RansomHub, który twierdził, że ma dane nawet 500 tys. klientów.
Samo Sotheby’s notowało wcześniej incydenty „card skimmingu” (Magecart) w latach 2017–2018, gdy złośliwy skrypt wykradał dane kart płatniczych klientów.

Analiza techniczna / szczegóły luki

  • Wektor ataku: nieujawniony. Zawiadomienia wskazują, że „nieznany sprawca” usunął („removed”) dane z środowiska Sotheby’s. To sugeruje eksfiltrację po skutecznym dostępie do zasobów (np. kompromitacja konta, błąd w aplikacji, podatność w łańcuchu dostaw lub urządzeniach perymetrycznych). Brak potwierdzenia o ransomware.
  • Linia czasu:
    • 24.07.2025 – wykrycie usunięcia danych przez nieznanego aktora.
    • ~24.09.2025 – zakończenie weryfikacji zakresu danych (wg relacji prasowych na podstawie pism do organów).
    • 15.10.2025 – rejestracja zawiadomienia w Maine (potwierdza formalne notyfikacje).
  • Zakres danych: imię i nazwisko, SSN, informacje o rachunkach finansowych – o potencjalnie wysokiej krytyczności dla nadużyć finansowych i kradzieży tożsamości.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla pracowników: przejęcie tożsamości (SSN), otwieranie kont kredytowych, przelewy z rachunków po udanych fraudach socjotechnicznych.
  • Ryzyko wtórne dla firmy: targetowane spear-phishing/BEC (podszywanie się pod HR/finanse), ataki na procesy payroll oraz eskalacja do środowisk produkcyjnych poprzez konta uprzywilejowane. (Wnioski na bazie charakteru wycieku i trendów branżowych.)
  • Ryzyko reputacyjne i regulacyjne: w USA mozaika wymogów stanowych (terminy notyfikacji, zakresy danych), a globalnie potencjalne skutki zgodności (np. GDPR, jeśli dotyczy danych pracowników z UE).

Rekomendacje operacyjne / co zrobić teraz

Dla osób, które otrzymały zawiadomienie (pracownicy/eks-pracownicy):

  1. Zamrożenie kredytu (credit freeze) w głównych biurach kredytowych + rejestracja w oferowanym TransUnion (12 mies.).
  2. Monitoruj rachunki bankowe i karty, włącz alerty transakcyjne; natychmiast zgłaszaj nieautoryzowane operacje.
  3. Chroń SSN: nie podawaj przez telefon/mail; uważaj na „weryfikacje” podszywające się pod HR/ubezpieczyciela.
  4. Higiena haseł / MFA: zmień hasła powiązane z pracą i prywatne, włącz MFA wszędzie, gdzie to możliwe.

Dla organizacji (Sotheby’s / inne firmy w sektorze):

  • EDR + logowanie i retencja (co najmniej 90 dni gorących logów): ułatwia korelację i triage po eksfiltracji.
  • Segregacja danych HR/finansowych, minimalizacja uprawnień (PoLP), kontrole dostępu oparte na ryzyku oraz monitoring DLP dla kanałów e-mail/SaaS.
  • Patching i hardening systemów brzegowych (VPN/WAF/NGFW) oraz kontrola tokenów API i kluczy w repozytoriach.
  • Testy „tabletop” IR pod scenariusze BEC/wyciek danych + ćwiczenia komunikacyjne (z HR/PR/komunikacja do regulatorów).
  • Weryfikacja dostawców (due diligence, SSAE 18/SOC 2), ponieważ łańcuch dostaw jest częstym wektorem ataku.
  • Szkolenia ukierunkowane na payroll/BEC, bo właśnie te działy bywają celem po wyciekach danych pracowniczych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Christie’s (2024): głośny incydent z elementami ransomware/ekstorsji, z deklarowaną przez atakujących ogromną bazą danych klientów (do 500 tys.). W przypadku Sotheby’s na dziś brak przypisania do grup ransomware i – po aktualizacji – mowa o danych pracowników, nie klientów. To istotnie zmienia profil ryzyka (compliance HR vs. ochrona klientów/HNWI).

Podsumowanie / kluczowe wnioski

  • Incydent z 24.07.2025 r. w Sotheby’s obejmował eksfiltrację danych, w tym SSN i informacje finansowe; dotyczył pracowników, co firma potwierdziła 17.10.2025 r.
  • Skala poszkodowanych nieujawniona; w rejestrze Maine widnieje data notyfikacji 15.10.2025 r.
  • Ofiarom zaoferowano 12 mies. monitoringu; priorytetem są freeze kredytowy, monitoring finansów i MFA.
  • Dla branży aukcyjnej to kolejny sygnał ostrzegawczy po incydencie u Christie’s; wymagane są wzmocnione kontrole dostępu do danych HR/finansowych oraz gotowość IR.

Źródła / bibliografia

  1. BleepingComputer – „Auction giant Sotheby’s says data breach exposed financial information” (aktualizacja 17.10: dotyczy pracowników). (BleepingComputer)
  2. The Register – „Sotheby’s finds its data on the block after cyberattack” (szczegóły danych i świadczeń). (The Register)
  3. Maine AG – rejestr naruszeń: wpis „Sotheby’s”, data zgłoszenia 15.10.2025. (maine.gov)
  4. The Guardian – „Christie’s website hack … RansomHub … 500,000 klientów” (kontekst branżowy). (The Guardian)
  5. Cyberint – „Nothing fine about it – Sotheby’s data breach” (Magecart 2017–2018, tło historyczne). (Cyberint)


Have I Been Pwned dodaje „Prosper”: wyciek danych 17,6 mln rekordów z amerykańnej platformy pożyczkowej

Wprowadzenie do problemu / definicja luki

Have I Been Pwned (HIBP) dodało do swojej bazy nowy incydent: naruszenie bezpieczeństwa w Prosper (Prosper Marketplace/Prosper Funding LLC) – amerykańskiej platformie pożyczek P2P. Zgodnie z kartą naruszenia w HIBP, wyciek obejmuje 17,6 mln unikalnych adresów e-mail oraz inny wrażliwy zestaw danych klientów i wnioskodawców. Firma informuje, że nie stwierdzono nieautoryzowanego dostępu do kont i środków, a operacje frontowe działały bez przerwy.

W skrócie

  • Skala: 17,6 mln unikalnych adresów e-mail (nie 176 mln).
  • Czas: naruszenie wykryto 1 września 2025 r., ujawniono w zgłoszeniu do SEC 17 września 2025 r.; HIBP dodało wpis 16 października 2025 r.
  • Dane: m.in. SSN (amerykańskie numery ubezpieczenia społecznego), dane identyfikacyjne i kontaktowe klientów/wnioskodawców.
  • Finanse użytkowników: brak dowodów na dostęp do kont i środków.
  • Kontekst medialny: incydent opisany m.in. przez BleepingComputer.

Kontekst / historia / powiązania

Prosper to jeden z najstarszych operatorów pożyczek P2P w USA (od 2005 r.). Serwis obsłużył ponad 2 mln klientów, finansując ponad 30 mld USD pożyczek – co dodatkowo podnosi wagę incydentu, biorąc pod uwagę wrażliwość danych finansowych.

Z formalnego punktu widzenia spółka zarejestrowała zdarzenie jako „Other Events” w raporcie Form 8-K (okres sprawozdawczy: 1 września 2025 r.; data złożenia: 17 września 2025 r.). To źródło potwierdza ramy czasowe incydentu i jego komunikację do organu nadzoru.

Analiza techniczna / szczegóły luki

Na karcie HIBP dla „Prosper” wskazano, że naruszenie dotknęło 17,6 mln unikalnych adresów e-mail i obejmuje dodatkowe dane klientów/wnioskodawców, w tym SSN. Nie ma dowodów na przejęcie kont użytkowników ani środków; usługi dla klientów działały bez zakłóceń. (Uwaga: HIBP podaje liczbę unikalnych adresów e-mail – całkowita liczba rekordów w bazie może być wyższa, jeśli pojedyncze osoby mają wiele wpisów).

Wpis „Prosper” pojawił się na liście „Pwned Websites” HIBP 16 października 2025 r., z datą naruszenia wrzesień 2025 r. – co jest spójne z terminami z 8-K.

Praktyczne konsekwencje / ryzyko

  • Kradzież tożsamości (USA): ujawnienie SSN znacząco ułatwia oszustwa kredytowe, zaciąganie pożyczek i tzw. new-account fraud.
  • Spear-phishing i vishing: połączenie danych kontaktowych z informacjami finansowymi zwiększa skuteczność ukierunkowanych kampanii podszywania się pod bank/firmę pożyczkową. (Wniosek analityczny na podstawie charakteru danych).
  • Fraud kredytowy długoterminowy: SSN jest danym trwałym – ryzyko nie wygasa po zmianie hasła. (Wniosek analityczny).

Rekomendacje operacyjne / co zrobić teraz

Dla osób, które mają lub miały relację z Prosper (klient, inwestor, wnioskodawca):

  1. Kredyt freeze / blokada kredytowa (USA): w Experian, Equifax, TransUnion – to najskuteczniejszy środek przeciwko new-account fraud po ekspozycji SSN.
  2. Fraud alert w biurach kredytowych i monitoring transakcji/raportów kredytowych.
  3. Zarejestruj się w HIBP (alerty naruszeń dla e-maila) i sprawdzaj nowe wpisy – incydent został już dodany (16.10.2025).
  4. Higiena haseł: jeśli jakiekolwiek hasła mogły być współdzielone z e-mailem użytym w Prosper – natychmiast zmień je na unikatowe i włącz MFA.
  5. Ostrożność wobec phishingu: spodziewane są kampanie „na Prosper/pożyczki”. Nie klikaj linków z SMS/e-mail, loguj się wyłącznie ręcznie przez oficjalną stronę.
  6. Śledź komunikaty spółki: Prosper zgłosił zdarzenie do SEC 17.09.2025 r. – dalsze aktualizacje będą ujawniane kanałami regulacyjnymi.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Wrażliwość danych: obecność SSN odróżnia ten incydent od wielu wycieków zawierających „tylko” e-maile/hasła – wektory nadużyć są tu znacznie poważniejsze.
  • Ciągłość usług: Prosper raportuje brak wpływu na konta i dostęp do środków – podobny komunikat pojawia się w niektórych incydentach finansowych, ale nie redukuje to ryzyka kradzieży tożsamości.

Podsumowanie / kluczowe wnioski

  • Wyciek „Prosper” dotyczy 17,6 mln adresów e-mail i danych wrażliwych, w tym SSN.
  • Oś czasu: 1.09.2025 wykrycie, 17.09.2025 zgłoszenie do SEC, 16.10.2025 dodanie do HIBP.
  • Priorytetem dla poszkodowanych jest freeze w biurach kredytowych i twarda higiena tożsamości cyfrowej.

Źródła / bibliografia

  • Have I Been Pwned – karta naruszenia „Prosper” (zakres i typy danych, liczba unikalnych e-maili, deklaracja o braku dostępu do kont/środków). (Have I Been Pwned)
  • SEC EDGAR – Form 8-K (Prosper Marketplace/Prosper Funding), okres 2025-09-01, złożenie 2025-09-17 (oś czasu i formalne ujawnienie). (SEC)
  • HIBP – „Pwned Websites” (data dodania: 16.10.2025; data naruszenia: 09.2025). (Have I Been Pwned)
  • BleepingComputer – omówienie incydentu (kontekst rynkowy Prosper, skala i znaczenie). (BleepingComputer)


Fałszywe alerty „wycieku” LastPass i Bitwarden kończą się przejęciem komputera. Jak działa kampania i jak się bronić

Wprowadzenie do problemu / definicja luki

Trwa kampania phishingowa podszywająca się pod LastPass i Bitwarden. Ofiary otrzymują e-maile informujące o rzekomym włamaniu i pilnej konieczności zainstalowania „bezpieczniejszej” wersji aplikacji desktopowej. Po kliknięciu linku i uruchomieniu pliku instalowany jest agent narzędzia RMM, a następnie ScreenConnect (zdalny pulpit), co umożliwia atakującemu pełne przejęcie stacji roboczej. To nie jest prawdziwy incydent po stronie LastPass/Bitwarden — to socjotechnika.

W skrócie

  • Temat: podszywanie się pod LastPass/Bitwarden z fałszywymi „alertami o włamaniu”.
  • Wejście: e-mail z domen typu lastpasspulse.blog, lastpasjournal.blog, bitwardenbroadcast.blog z linkiem do „nowej aplikacji desktopowej”.
  • Łańcuch infekcji: instalacja Syncro (RMM) → doinstalowanie ScreenConnect → zdalne przejęcie hosta, możliwość dołożenia malware i kradzieży danych.
  • Stan faktyczny: LastPass potwierdza, że nie doszło do włamania; wskazuje IoC (domeny, IP) i że strony są blokowane jako phishing.
  • Powiązane: tydzień wcześniej podobny schemat uderzał w użytkowników 1Password (phishing na „Watchtower”).

Kontekst / historia / powiązania

Napastnicy coraz częściej celują w menedżery haseł — zaufane marki zwiększają skuteczność socjotechniki, a przejęcie takiego konta daje dostęp do wielu usług. Oprócz obecnej fali na LastPass/Bitwarden, w październiku 2025 opisana została kampania podszywająca się pod 1Password (fałszywe alerty Watchtower, domena phishingowa i przekierowania przez Mandrill). Widzimy więc trend ataków „brand-impersonation” w obrębie tej kategorii narzędzi.

Analiza techniczna / szczegóły kampanii

Wejście (Initial Access):

  • E-maile o temacie w stylu „We Have Been Hacked – Update Your … Desktop App…”, nadawcy m.in. hello@lastpasspulse[.]blog, hello@lastpassgazette[.]blog, hello@lastpasjournal[.]blog oraz wariant dla Bitwarden (hello@bitwardenbroadcast[.]blog). Linki prowadzą do stron typu lastpassdesktop[.]com / lastpassgazette[.]blog.

Środowisko hostingu i blokady:

  • Domeny były osłaniane przez Cloudflare i oznaczane jako phishing; odnotowano wykorzystanie hostingu kojarzonego z „bulletproof” dostawcami.

Wykonanie (Execution) i triks techniczne:

  • Pobierany binarny „installer” nie jest aplikacją menedżera haseł. To agent Syncro (RMM) uruchamiany z parametrami ukrywającymi ikonę w trayu. Po zestawieniu łączności agent dociąga ScreenConnect (BYO installer), który daje atakującemu interaktywny zdalny dostęp. Konfiguracja ograniczona do minimum (check-in co 90 s), bez włączonego natywnego zdalnego dostępu w Syncro i bez dodatkowych integracji typu Splashtop/TeamViewer; skrypty wyłączają lub blokują agentów Emsisoft/Webroot/Bitdefender.

Cel (Impact):

  • Po ustanowieniu sesji RDP-like atakujący może: doinstalować infostealery/ransomware, eksfiltrację danych, przejąć przeglądarki/menedżery haseł (po odblokowaniu sesji użytkownika), pivotować w sieci.

Praktyczne konsekwencje / ryzyko

  • Użytkownicy indywidualni: ryzyko kradzieży całej „skrzynki z kluczami” (vault), danych finansowych i tożsamości; potencjalne szyfrowanie danych.
  • Firmy/MSP: RMM jako „żywe z ziemi” (LOTL) utrudnia detekcję; możliwe obejście części EPP/AV; ekspozycja poświadczeń korporacyjnych i danych klientów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i helpdesków:

  1. Ignoruj i raportuj: nie instaluj „nowej aplikacji desktopowej” z linków e-mail; zgłaszaj do dostawcy (np. abuse@lastpass.com).
  2. Weryfikuj komunikaty wyłącznie w panelu/kanałach oficjalnych (blog, status, help). Firmy nie proszą o podanie master password w e-mailu.
  3. Sprawdź legalność wiadomości Bitwarden – oficjalne maile nie mają załączników i nie proszą o pobranie pliku.
  4. EDR/AV skan pełny i audyt uruchomionych usług: poszukaj Syncro/ScreenConnect; w razie znajdowania – izoluj host, resetuj hasła (zwłaszcza do menedżera haseł) i weryfikuj MFA.
  5. Ustaw reguły blokujące instalację i komunikację popularnych RMM (allow-list w firmach), segmentacja i zasada najmniejszych uprawnień na stacjach helpdesk.

Dla zespołów bezpieczeństwa/SOC:

  • Blokuj IoC z poniższej listy na bramkach i EDR; huntuj po DNS/HTTP/S, procesach i usługach (np. SyncroMSP, artefakty ScreenConnect).
  • User awareness: krótkie szkolenie o „fałszywych wyciekach” i wzorcach stylu (nagłówki, słownictwo, presja czasu, weekendowe wysyłki).

Wybrane IoC (na podstawie bieżących publikacji):

  • Nadawcy: hello@lastpasspulse[.]blog, hello@lastpassgazette[.]blog, hello@lastpasjournal[.]blog, hello@bitwardenbroadcast[.]blog.
  • Domeny/URL: lastpassdesktop[.]com, lastpassgazette[.]blog, potencjalnie lastpassdesktop[.]app.
  • Infrastruktura (wg LastPass w chwili publikacji): IP 172.67.147[.]36, 172.67.219[.]2, 84.32.84[.]32; nagłówkowe IP 148.222.54[.]15, 23.83.222[.]47. Uwaga: adresy mogą się zmieniać – utrzymuj bloki jako time-boxed.
  • Narzędzia po stronie ofiary: Syncro (RMM)ScreenConnect (zdalny dostęp).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Obecna kampania (LastPass/Bitwarden): główny cel to przejęcie endpointu poprzez RMM i zdalny dostęp (ScreenConnect). Nie chodzi tylko o kradzież danych logowania z fałszywej strony, ale o pełną kontrolę nad hostem.
  • Kampania na 1Password (tydzień wcześniej): klasyczny credential phishing (np. link do fałszywej strony po przekierowaniu), bez instalacji RMM; wektor oparty o „Watchtower breach alert”.

Podsumowanie / kluczowe wnioski

  • Nie doszło do nowego włamania do LastPass ani Bitwarden — to fałszywe alerty.
  • Kliknięcie w link i instalacja „nowej aplikacji” kończy się instalacją RMM i zdalnym przejęciem komputera.
  • Trend: rośnie liczba kampanii podszywających się pod marki menedżerów haseł (LastPass, Bitwarden, 1Password). Weryfikuj komunikaty tylko w oficjalnych kanałach i egzekwuj polityki blokowania RMM.

Źródła / bibliografia

  • BleepingComputer: Fake LastPass, Bitwarden breach alerts lead to PC hijacks (analiza kampanii, łańcuch RMM → ScreenConnect). (BleepingComputer)
  • LastPass (oficjalny blog): October 13 Phishing Campaign Leveraging LastPass Branding — dementi, IoC (domeny, IP), wskazówki. (The LastPass Blog)
  • Malwarebytes: Phishers target 1Password users with convincing fake breach alert — kontekst i podobna kampania tydzień wcześniej. (Malwarebytes)
  • Bitwarden Help Center: Identify Legitimate Emails from Bitwarden — jak rozpoznać prawdziwe maile (brak załączników/plików). (Bitwarden)

MANGO ujawnia incydent naruszenia danych: wyciek kontaktów klientów po włamaniu do zewnętrznej usługi marketingowej

Wprowadzenie do problemu / definicja luki

Hiszpański detalista modowy MANGO potwierdził naruszenie danych osobowych po nieautoryzowanym dostępie do jednego z usługodawców marketingowych. Firma poinformowała, że nie ucierpiały systemy korporacyjne MANGO ani wrażliwe dane finansowe i loginy, ale ujawniono dane kontaktowe wykorzystywane w kampaniach marketingowych. Zawiadomienia e-mail do klientów wysłano 14 października 2025 r., a sprawę zgłoszono właściwym organom (AEPD).

W skrócie

  • Źródło naruszenia: zewnętrzny dostawca usług marketingowych (vendor).
  • Zakres danych: imię (bez nazwiska), kraj, kod pocztowy, adres e-mail, numer telefonu.
  • Czego nie obejmuje: brak danych kart/bankowych, haseł, dokumentów tożsamości; infrastruktura MANGO bez naruszeń.
  • Kiedy: incydent wykryty w weekend poprzedzający 14 października; powiadomienia 14.10.2025.
  • Zgodność: zgłoszenie do hiszpańskiego organu ochrony danych (AEPD) zgodnie z art. 33 RODO.

Kontekst / historia / powiązania

Trendy ostatnich lat pokazują, że łańcuch dostaw martech/adtech bywa najsłabszym ogniwem – dane marketingowe (listy mailingowe, segmenty, numery telefonów) są często outsourcowane do podmiotów trzecich, co zwiększa powierzchnię ataku i złożoność zarządzania zgodnością. W przypadku MANGO media branżowe i ogólne zgodnie relacjonują, że incydent dotyczył właśnie takiego „third-party” dostawcy, a nie produkcyjnych systemów e-commerce.

Analiza techniczna / szczegóły luki

Z komunikatów i kopii powiadomień wynika, że napastnik uzyskał dostęp do repozytoriów danych operatora kampanii marketingowych, a nie do platform transakcyjnych MANGO. Ujawnione kategorie danych:

  • Imię (bez nazwiska)
  • Kraj i kod pocztowy
  • Adres e-mail
  • Numer telefonu

Choć nie są to dane „silnie wrażliwe” w rozumieniu RODO, ich kombinacja umożliwia precyzyjny spear-phishing i smishing (np. wiadomości podszywające się pod MANGO z kontekstem geograficznym po kodzie pocztowym). Brak nazwiska ogranicza ryzyko profilowania, ale adres e-mail + telefon to wektor nadużyć (MFA fatigue, vishing).

Praktyczne konsekwencje / ryzyko

  • Phishing/Smishing: kampanie podszywające się pod MANGO (informacje o zwrotach, kuponach, dopłatach do dostawy).
  • „Consent bombing” i spam marketingowy: listy mogą trafić do brokerów danych.
  • Ataki socjotechniczne z geotargetowaniem: wykorzystanie kraju/kodu pocztowego do uwiarygodniania treści.
  • Ryzyko wtórne: korelacja z innymi wyciekami (OSINT) może ujawnić pełne profile.
    Te wektory są typowe dla kompromitacji zasobów martech – naruszenie nie musi obejmować haseł, by skutkować mierzalnym wzrostem oszustw w kanałach e-mail/SMS. (Wnioski na podstawie zakresu danych i praktyk branżowych.)

Rekomendacje operacyjne / co zrobić teraz

Dla klientów MANGO

  1. Zwiększona czujność wobec e-maili/SMS rzekomo od MANGO; nie klikaj w skrócone URL-e, nie podawaj kodów SMS.
  2. Weryfikacja nadawcy: sprawdzaj domenę i podpisy DKIM/DMARC w klientach poczty, gdy to możliwe.
  3. Filtry poczty i komunikatorów: dodaj reguły flagujące frazy „dostawa”, „dopłata”, „kupon”.
  4. Zgłaszanie podejrzanych wiadomości do MANGO (adres DPO widoczny w polityce prywatności: personaldata@mango.com) i lokalnych CERT/CSIRT.

Dla organizacji (w tym zespołów e-commerce/retail)

  1. Due diligence vendorów martech: audyty TPRM, wymagaj SOC 2/ISO 27001, SSO/MFA, logowania i retencji zdarzeń.
  2. Segmentacja i tokenizacja danych marketingowych: przechowuj minimalne atrybuty (np. usuwaj telefony, jeśli niepotrzebne).
  3. Kontrola przepływu danych (RODO, art. 28): umowy powierzenia + DPIA dla kampanii omnichannel.
  4. Zasada „least privilege” dla API i paneli ESP/SMS: klucze krótkoterminowe, IP allowlisting, FIDO2 dla operatorów.
  5. Gotowość komunikacyjna: szablony notyfikacji (art. 33/34 RODO), 72-godzinne SLA zgłoszeń do AEPD i kanały dla klientów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z incydentami, które dotykają systemów płatniczych lub kont klientów, przypadek MANGO jest ograniczony do danych kontaktowych i zewnętrznego vendora. To zmniejsza ryzyko natychmiastowych strat finansowych, ale zwiększa powierzchnię socjotechniki, co – jak pokazują doniesienia prasowe – jest dziś typowym scenariuszem w sektorze retail.

Podsumowanie / kluczowe wnioski

  • Atak na łańcuch dostaw marketingu doprowadził do ujawnienia danych kontaktowych klientów MANGO.
  • Brak dowodów na kompromitację haseł, płatności i systemów korporacyjnych MANGO.
  • Największym ryzykiem pozostaje phishing/smishing oraz profilowanie pod oszustwa.
  • Kluczowe działania: czujność klientów, twarde kontrole u vendorów martech, minimalizacja danych i gotowe procedury RODO.

Źródła / bibliografia

  1. BleepingComputer – „Clothing giant MANGO discloses data breach exposing customer info” (15 paź 2025). BleepingComputer
  2. El País – „Mango sufre un ciberataque…” (14 paź 2025). El País
  3. Marketing4eCommerce – „Los clientes de Mango, afectados por un ‘acceso no autorizado’…” (15 paź 2025). Marketing4eCommerce
  4. The Record (Recorded Future News) – „Mango says some customer information exposed…” (15 paź 2025). The Record from Recorded Future
  5. AEPD – „Notificación de brechas de datos personales…” (wytyczne dot. zgłoszeń, art. 33 RODO). AEPD

Capita zapłaci £14 mln za wyciek danych 6,6 mln osób — co to oznacza dla firm i funduszy emerytalnych

Uwaga na tytuł BleepingComputer: w niektórych doniesieniach pojawia się liczba „66 milionów”. Oficjalne komunikaty i główne media potwierdzają 6,6 mln poszkodowanych.

Wprowadzenie do problemu / definicja luki

Brytyjski regulator ochrony danych ICO nałożył na Capita (Capita plc oraz Capita Pension Solutions) łączną karę £14 mln za „poważne uchybienia” w zabezpieczeniach, które doprowadziły w 2023 r. do kradzieży danych 6,6 mln osób, w tym członków setek programów emerytalnych. Kara została ogłoszona 15 października 2025 r. i rozdzielona na £8 mln (Capita plc) oraz £6 mln (Capita Pension Solutions).

W skrócie

  • Skala naruszenia: dane 6,6 mln osób, w części dane wrażliwe (m.in. informacje finansowe, o wyrokach, „special category data”).
  • Błąd operacyjny: mimo szybkiego wykrycia aktywności, kompromitowane urządzenie odłączono dopiero po 58 godzinach; napastnicy wykradli niemal 1 TB danych i wdrożyli ransomware.
  • Wysokość kary: łącznie £14 mln (po redukcji z wstępnie rozważanych ~£45 mln dzięki współpracy i usprawnieniom po incydencie).
  • Kontekst emerytalny: setki programów emerytalnych raportowały naruszenie do regulatorów; sprawą zajmował się The Pensions Regulator.
  • Doniesienia prasowe: część publikacji podała błędną liczbę „66 mln”; oficjalne dane mówią o 6,6 mln.

Kontekst / historia / powiązania

Atak na Capita miał miejsce w marcu–kwietniu 2023 r. i spowodował szerokie zakłócenia usług outsourcingowych, w tym obsługi funduszy emerytalnych. W 2024 r. The Pensions Regulator opublikował raport z interwencji regulacyjnej, wskazując m.in. lekcje dla powierników i konieczność zwiększenia odporności cyber w łańcuchu dostaw. Media łączyły incydent z działalnością grupy Black Basta.

Analiza techniczna / szczegóły luki

Z ustaleń ICO i relacji prasowych wynika, że:

  • Wykryto nietypową aktywność bardzo szybko, ale izolacja zainfekowanego hosta trwała 58 godzin — czas ten umożliwił ekfiltrację ~1 TB danych i wdrożenie ransomware.
  • Naruszone zbiory obejmowały dane emerytalne i kadrowe przechowywane/obsługiwane przez Capita dla klientów instytucjonalnych; dla części osób dotyczyło to danych szczególnych kategorii i informacji o wyrokach.
  • ICO wskazał na niedostatki kadrowe, testów i łatania oraz zbyt wolną reakcję operacyjną. (Streszczenie na podstawie komunikatu ICO i relacji mediów.)

W tle głośny był także odrębny problem błędnej konfiguracji zasobów w chmurze (publicznie dostępny zasób S3) ujawniony w 2023 r., który dotyczył innych zestawów danych. To nie jest to samo zdarzenie, ale pokazuje szerzej wyzwania bezpieczeństwa u dostawców usług.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla osób: potencjalne nadużycia finansowe, ukierunkowany phishing, kradzież tożsamości i profilowanie, zwłaszcza gdy wyciek obejmuje dane dot. zdrowia czy wyroków. (Zakres danych: patrz wyżej.)
  • Ryzyko kontraktowe: klienci (np. fundusze, jednostki sektora publicznego) mogą dochodzić roszczeń z tytułu naruszenia umów przetwarzania i SLA.
  • Ryzyko regulacyjne: kary administracyjne (jak w niniejszej sprawie) i nakazy działań naprawczych; konieczność wykazania due diligence przy wyborze podmiotu przetwarzającego.
  • Koszty wtórne: poza karą, koszty obsługi incydentu, notyfikacji, monitoringu kredytowego i modernizacji SOC mogą być wielomilionowe (wcześniej Capita szacowała wpływ finansowy incydentu).

Rekomendacje operacyjne / co zrobić teraz

Dla właścicieli programów emerytalnych, instytucji finansowych i zamawiających usługi:

  1. Przegląd umów z procesorami: doprecyzować RTO/RPO, czasy izolacji hostów, obowiązek EDR/XDR i procedury takedown/containment.
  2. Weryfikacja zdolności reakcji: ćwiczenia purple team i tabletop z dostawcami — time to contain powinien być KPI z raportowaniem do zarządu.
  3. Segmentacja i zasada najmniejszych uprawnień: minimalizacja blast radius, kontrola ekfiltracji (DLP, egress filtering, CASB).
  4. Twarde standardy chmurowe: skanowanie konfiguracji (CSPM), polityki S3/Blob deny-by-default, szyfrowanie KMS, presigned URLs z TTL, blokady publicznego dostępu. (Wnioski także z odrębnych incydentów konfiguracyjnych.)
  5. Plan komunikacji i wsparcie dla osób: gotowe szablony notyfikacji, infolinia, monitoring kredytowy tam, gdzie adekwatne — zgodnie z wytycznymi regulatorów.
  6. Evidence-based patching: priorytetyzacja poparta telemetrią (eksploatowane CVE), SLA na poprawki i testy regresji.
  7. Continuous control monitoring: automaty do wykrywania exfiltracji (anomalia DNS/HTTP), impossible travel, mass file access, unusual volume to cloud storage.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Capita 2023 (ransomware & exfiltracja) vs Capita 2023 (błędna konfiguracja S3) — dwa różne wektory i dwa różne zdarzenia; oba pokazują, że czas reakcji i higiena konfiguracji chmurowej są krytyczne.
  • Analogicznie do głośnych wycieków chmurowych (np. błędne bucket’y S3) – podobny mechanizm skutków (nieuprawniony dostęp do hurtowych danych), ale inna ścieżka ataku (konfiguracja vs. aktywny atak i lateral movement).

Podsumowanie / kluczowe wnioski

  • Sprawa Capita to lekcja o operacyjnej gotowości: wykrycie to za mało, jeśli odcięcie trwa dziesiątki godzin.
  • Łańcuch dostaw danych (fundusze emerytalne, outsourcerzy) wymaga twardych KPI bezpieczeństwa i realnych testów reakcji.
  • Błędy w konfiguracji chmury mogą szkodzić równie mocno jak ransomware — standardy deny-by-default i CSPM to „must-have”.
  • Komunikaty prasowe bywają mylące: trzymaj się źródeł oficjalnych i weryfikuj liczby (6,6 mln, a nie 66 mln).

Źródła / bibliografia

  1. ICO: „Capita fined £14m for data breach affecting over 6m people” (15.10.2025) — szczegóły kary i naruszeń. (Information Commissioner’s Office)
  2. ICO — karta egzekucyjna: „Capita plc and Capita Pension Solutions Ltd” (15.10.2025). (Information Commissioner’s Office)
  3. The Guardian: „Capita fined £14m for data protection failings in 2023 cyber-attack” (15.10.2025). (The Guardian)
  4. BleepingComputer: „Capita to pay £14 million for data breach impacting 6.6 million people” (15.10.2025) — uwaga: nagłówki w niektórych miejscach z błędną liczbą. (BleepingComputer)
  5. The Pensions Regulator: „Capita cyber security incident – Regulatory intervention report” (02.02.2024) — kontekst dla powierników. (The Pensions Regulator)

Microsoft Patch Tuesday (październik 2025): 6 luk zero-day i 172 poprawki — co trzeba załatać w pierwszej kolejności

Wprowadzenie do problemu / definicja luki

Microsoft opublikował zestaw poprawek Patch Tuesday z 14 października 2025 r., który usuwa 172 podatności, w tym 6 luk zero-day (część była aktywnie wykorzystywana). Zestaw obejmuje 8 luk oznaczonych jako „Critical”. To jednocześnie wydanie, które zbiegło się z końcem wsparcia dla Windows 10 w standardowym cyklu aktualizacji (z opcją ESU).

W skrócie

  • 172 CVE, w tym 6 zero-day; najwięcej to EoP (80), dalej RCE (31) i Information Disclosure (28).
  • Priorytet 1: CVE-2025-24990 (Agere Modem, EoP, exploited) i CVE-2025-59230 (Remote Access Connection Manager, EoP, exploited).
  • Windows 10: koniec wsparcia w Patch Tuesday; ścieżka ESU (w tym inicjatywy dla użytkowników w UE) — zaplanuj migrację.

Kontekst / historia / powiązania

Październikowe biuletyny tradycyjnie są „ciężkie”, ale w tym miesiącu wyróżnia się zarówno liczba CVE, jak i liczba EoP (eskalacje uprawnień), które często pełnią rolę łącznika w łańcuchach ataku po początkowym footholdzie. Dodatkowo, to wydanie zamyka standardowy cykl dla Windows 10; organizacje zostają ze ścieżką Extended Security Updates albo migracją do Windows 11/Windows Server nowszych wydań.

Analiza techniczna / szczegóły luki

6 zero-day w październiku 2025

Aktywnie wykorzystywane (exploited in the wild):

  1. CVE-2025-24990 — Agere Modem driver (ltmdm64.sys), EoP
    Microsoft usuwa podatny sterownik z systemu (może to unieruchomić powiązany sprzęt faks/modem). Wpływa na wspierane wersje Windows.
  2. CVE-2025-59230 — Remote Access Connection Manager (RasMan), EoP
    Błąd kontroli dostępu umożliwia lokalną eskalację do SYSTEM po pewnym nakładzie przygotowań.
  3. (Zgłoszenia do katalogu CISA KEV) — luki EoP w sterowniku Agere są klasyfikowane jako znane i wykorzystywane — potwierdza CISA KEV (priorytet patchowania).

Publicznie ujawnione / o wysokim ryzyku łańcuchowym:
4. CVE-2025-0033 — AMD SEV-SNP RMP corruption
Dotyczy środowisk wirtualizacji (hipernadzorca z uprzywilejowanym dostępem). Wpływ na integralność pamięci gościa.
5. CVE-2025-24052 — Agere Modem driver, EoP (pokrewne do 24990) — publicznie ujawnione.
6. CVE-2025-47827 — Secure Boot bypass (IGEL OS < 11)
Dodane do zbioru aktualizacji Microsoft; dotyczy łańcucha rozruchu (weryfikacja podpisu modułu igel-flash-driver).
7. CVE-2025-2884 — TCG TPM 2.0 (OOB read)
Potencjalny DoS/ujawnienie informacji w implementacji referencyjnej TPM 2.0 (aktualizacje włączone do paczek Microsoft).

Uwaga: różne firmy raportujące liczbę CVE podają czasem odmienne sumy z powodu innej metodologii liczenia (np. wyłączenie/uwzględnienie produktów chmurowych). Przykładowo, niezależne zestawienia wskazywały na 167–175 CVE; my opieramy się na 172 wg BleepingComputer i CrowdStrike.

Rozbicie wg typów podatności i produktów

  • 80× EoP, 31× RCE, 28× Info Disclosure, reszta: SFB, DoS, Spoofing.
  • Najwięcej poprawek dla Microsoft Windows (~134), dalej Office (~18) i Azure (~6).
    Te wnioski są spójne z analizą CrowdStrike dla bieżącego wydania.

Praktyczne konsekwencje / ryzyko

  • EoP jako „klej” łańcucha: luki w Agere i RasMan ułatwiają przejście z konta użytkownika/serwisu do SYSTEM i trwałą persystencję po początkowym włamaniu (phishing, BYOVD, błędy w aplikacjach).
  • Środowiska wirtualne i chmura: CVE-2025-0033 (AMD SEV-SNP) zwiększa ryzyko naruszenia izolacji maszyn poufnych w określonych modelach zagrożeń (uprzywilejowany hipernadzorca).
  • Łańcuch zaufania rozruchu/TPM: CVE-2025-47827 (Secure Boot) i CVE-2025-2884 (TPM 2.0) mogą podważać integralność platformy; wymagają testów zgodności w środowiskach z pełnym UEFI Secure Boot/Measured Boot.
  • Koniec wsparcia Windows 10: brak regularnych łat poza ESU podnosi powierzchnię ryzyka w organizacjach z długim ogonem urządzeń.

Rekomendacje operacyjne / co zrobić teraz

Priorytet łatania (48–72 h):

  1. CVE-2025-24990 (Agere, EoP, exploited) — zweryfikuj usunięcie sterownika; monitoruj wpływ na urządzenia faks/modem (wycofanie sprzętu legacy).
  2. CVE-2025-59230 (RasMan, EoP, exploited) — patch + reguły detekcji nietypowych wywołań usług RAS/rasdial, logon type 5/7 w korelacji z procesami VPN/RDP.
  3. CVE-2025-0033 (AMD SEV-SNP) — skoordynuj z zespołem wirtualizacji/Cloud Center of Excellence; sprawdź komunikaty Azure Service Health dla klastrów ACC.

Kontrole twardniejące i detekcyjne:

  • Włącz Kernel-mode Hardware-enforced Stack Protection (tam, gdzie wspierane), HVCI, ASR; zablokuj ładowanie niepodpisanych/ podatnych sterowników (WDAC z trybem „deny-list BYOVD”).
  • W SOC dołóż telemetrię ETW dla ładowania sterowników (Event ID 6, 7 w Sysmon), anomalii w RasMan, próby modyfikacji BCD/bootloadera (Secure Boot).
  • W TPM/UEFI: sprawdź logi PCR/Measured Boot i stan EKCert po aktualizacji (degradacje zaufania).

Zarządzanie Windows 10 / ESU:

  • Opracuj matrycę migracji do Windows 11 lub zarejestruj urządzenia do ESU (uwzględnij polityki regionalne; część użytkowników w UE otrzymuje rok ESU bezpłatnie — patrz szczegółowe omówienie).

Różnice / porównania z innymi przypadkami

W poprzednich miesiącach przeważały RCE i błędy w usługach sieciowych. W październiku wyraźnie rośnie udział EoP i temat BYOVD (sterowniki firm trzecich w obrazie systemu). Dodatkowo wątek Trusted Computing (Secure Boot/TPM) częściej pojawia się w biuletynach — to sygnał, by objąć tymi testami ścieżki CI/CD obrazów systemowych (golden image, autopatch).

Podsumowanie / kluczowe wnioski

  • Zalataj teraz: CVE-2025-24990 (Agere) i CVE-2025-59230 (RasMan).
  • Zaplanuj działania w wirtualizacji/chmurze dla CVE-2025-0033 (AMD SEV-SNP).
  • Zadbaj o integralność rozruchu (Secure Boot/TPM) po aktualizacjach.
  • Windows 10: podejmij decyzję ESU vs. migracja — zwłoka zwiększa ekspozycję.
  • Ustal wewnętrzne SLA patchingu na 7 dni dla krytycznych systemów użytkowych i 14 dni dla serwerów z oknami serwisowymi.

Źródła / bibliografia

  1. BleepingComputer — „Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws” (szczegóły CVE, zero-day). (BleepingComputer)
  2. CrowdStrike — „October 2025 Patch Tuesday: … 172 CVEs” (statystyki, rozbicie po typach i produktach). (CrowdStrike)
  3. Microsoft — Windows Message Center (oficjalny komunikat o dostępności aktualizacji i status Windows 10). (Microsoft Learn)
  4. CISA — Known Exploited Vulnerabilities Catalog (priorytetyzacja i potwierdzenie wykorzystywania). (CISA)
  5. Rapid7 — „Patch Tuesday – October 2025” (kontekst końca wsparcia Windows 10 i wzmianka o ESU). (Rapid7)