Privacy
Prywatność pod presją: wycieki, regulacje i nowe technologie
Od szwedzkiego wyroku w sprawie monitoringu po francuski termin na kwantowe szyfrowanie – przegląd wydarzeń tygodnia.
ShinyHunters publikuje dane 10 000 pracowników Rady Europy
Grupa ShinyHunters opublikowała 297 gigabajtów danych pracowników Rady Europy po tym, jak organizacja nie zapłaciła okupu przed terminem 16 czerwca. Zbiór obejmuje 15 lat dokumentacji – ponad 409 000 pasków płac dla 10 000 pracowników z lat 2011–2026, 14 000 CV, 3700 akt osobowych oraz dane bankowe, medyczne i socjalne. Włamanie umożliwiła krytyczna luka CVE-2026-35273 w Oracle PeopleSoft, która nie wymaga uwierzytelnienia i ma ocenę CVSS 9,8. W momencie ataku nie istniała żadna łatka. Atak trwał od 27 maja do 9 czerwca, a CISA dodała lukę do katalogu wykorzystywanych podatności 12 czerwca. ShinyHunters ogłosiło, że wszystkie skradzione pliki będą teraz trwale dostępne przez sieć luster i torrentów, co uniemożliwia ich usunięcie. Fala danych obejmuje również ofiary z innych organizacji – grupa działa od 2019 roku i w samym 2026 naruszyła ponad 40 podmiotów. Rada Europy nie ogłosiła planu powiadamiania poszkodowanych ani oferowania im pomocy.
Council of Europe Data Breach: ShinyHunters Makes 10,000 Employees’ Records Permanent →
Indyjski sąd podtrzymał blokadę Telegramu – 150 mln użytkowników odciętych
Delhi High Court orzekł, że rząd Indii może legalnie zablokować całą platformę Telegram na mocy art. 69A ustawy o technologiach informacyjnych. Blokada objęła ponad 150 milionów użytkowników od połowy czerwca. Decyzja zapadła w związku z aferą wycieku pytań egzaminacyjnych NEET-UG 2026 – kryminalne sieci na Telegramie wyłudziły około 1,5 crore rupii od 1500 kandydatów, sprzedając fałszywe przecieki. Sędzia Tejas Karia uznał, że architektura Telegramu – automatyczne boty, rotowane kanały i możliwość migracji odbiorców – uniemożliwia skuteczne blokowanie pojedynczych elementów. Sąd zaaprobował również nakaz wyłączenia funkcji edycji wiadomości dla indyjskich użytkowników do 30 czerwca. Telegram usunął ponad 900 linków z nielegalnymi treściami, ale argumentował, że ma ograniczone możliwości wykrywania takich treści. Organizacja Internet Freedom Foundation nazwała blokadę nieproporcjonalną i niezgodną z konstytucją. CEO Telegramu Pawieł Durow oskarżył podmiot powiązany z Reliance o rozszerzenie blokady poza Indie poprzez BGP hijacking, co Reliance Jio zaprzeczyło. Blokada wygasa 22 czerwca, ale nakaz edycji wiadomości obowiązuje do 30 czerwca.
India’s Telegram Ban Upheld by Court, Putting 150 Million Users and Every Encrypted App at Risk →
Europol działał poza prawem – Bruksela planuje podwojenie budżetu
W maju 2025 ujawniono, że Europol utrzymywał tajne środowisko IT, które w pewnym momencie stało się jego głównym narzędziem analizy przestępczości, przechowując ponad 95 procent zebranych danych. Baza ta była 420 razy większa niż oficjalne systemy i działała bez odpowiednich zabezpieczeń oraz nadzoru. Europejski Inspektor Ochrony Danych upomniał Europol w 2019 roku, ale nie poniósł on konsekwencji – w 2022 roku UE zalegalizowała te praktyki. 24 czerwca 2026 Komisja Europejska ma zaproponować reformę, która podwoi budżet Europolu do 444 mln euro do 2034 roku, osłabi uprawnienia nadzorcze EIOD i rozszerzy zakres przestępstw. Europol przetwarza dane o działalności politycznej, podróżnych i obywatelach spoza UE. Krytycy wskazują, że przyczynia się do kryminalizacji ruchów społecznych – w raporcie z 2023 roku często łączono legalne protesty z terroryzmem. Poszkodowane osoby rzadko są informowane o przekazaniu ich danych do Europolu.
Europol is going rogue – so Brussels is doubling its budget?? →
Francja wyznacza rok 2027 na koniec szyfrowania odpornego na kwanty
Francuska agencja cyberbezpieczeństwa ANSSI ogłosiła, że od 2027 roku nie będzie certyfikować produktów bezpieczeństwa pozbawionych kryptografii odpornej na kwanty. Do 2030 roku przedsiębiorstwa powinny kupować produkty gotowe na erę kwantową. Szef sztabu ANSSI Samih Soussi określił to jako kwestię zarządzania, planowania przemysłowego i suwerenności. Ogłoszenie dotyczy zagrożenia zwanego Q-day – momentu, w którym komputery kwantowe złamią obecne szyfrowanie chroniące transakcje bankowe, dane medyczne i rządowe. Jerry Chow z IBM przewiduje, że zagrożenie może pojawić się już w połowie lat 30. XXI wieku. Francuski plan kwantowy opiewa na około 3 miliardy euro. Eksperci podkreślają, że wdrożenie kryptografii postkwantowej wiąże się z kompromisami w zakresie wydajności i pamięci. Firma Qperfect wskazała, że algorytm ECDSA używany w blockchain może być jednym z pierwszych złamanych. Biznes, banki i usługi publiczne muszą już planować transformację.
The Quantum Threat to Encryption Is Coming. France Just Set a 2027 Deadline →
Szwedzki organ nadzoru: monitoring kierowców Securitas niezgodny z RODO
Szwedzki urząd ochrony danych IMY orzekł 16 czerwca 2026, że Securitas Sverige AB naruszył RODO poprzez wdrożenie kamer AI w pojazdach patrolowych. Kamery nieprzerwanie analizowały zachowanie kierowców przez całą zmianę, klasyfikując ruchy i wysyłając alerty do kierowcy i kierownictwa. System działał w Örebro, Skövde, Helsingborgu i Märście. IMY uznał to za daleko idącą ingerencję w prywatność pracowników, ponieważ nieprzerwana analiza behawioralna nie miała podstawy prawnej. Bezpieczeństwo jako interes prawny nie wystarczyło – pracodawca nie wykazał proporcjonalności, a nierówna pozycja pracowników w stosunku do pracodawcy przechyliła szalę na korzyść prywatności. IMY wydała naganę, nie karę finansową, ponieważ pilotaż był ograniczony. Wytyczne EROD z października 2024 podkreślają, że ciągły monitoring behawioralny rzadko przechodzi test bilansowania. Orzeczenie ma zastosowanie do każdego pracodawcy w UE, który wdrożył podobny system bez dokumentacji. Od 2 sierpnia 2026 roku systemy AI w zatrudnieniu objęte będą pełnymi obowiązkami unijnego aktu o AI.
GDPR Driver Monitoring Fails Safety Defense: Securitas AI Cameras Ruled Unlawful →
Vermont zakazuje terapii AI i zaostrza reguły dla brokerów danych
Gubernator Vermontu Phil Scott podpisał w czerwcu 2026 roku dwie ustawy. Ustawa 156, z 17 czerwca, zakazuje podmiotom korporacyjnym świadczenia usług zdrowia psychicznego wyłącznie przez systemy AI. Terapeuci mogą korzystać z narzędzi AI zgodnych z HIPAA pod warunkiem osobistego przeglądu i zatwierdzenia. Produkty medyczne autoryzowane przez FDA pozostają dozwolone, jeśli przepisane przez licencjonowanego specjalistę. Naruszenia stanowią nieuczciwą praktykę handlową oraz nieprofesjonalne postępowanie. Rada doradcza ds. AI ma przedłożyć raport do 15 stycznia 2027. Ustawa 138, z 16 czerwca, podnosi opłatę rejestracyjną dla brokerów danych ze 100 do 900 dolarów rocznie. Brokerzy muszą ujawniać, czy sprzedają dane twórcom systemów AI, zbierają geolokalizację (z dokładnością do 1 850 stóp) oraz kategorie takie jak dane reprodukcyjne, biometryczne czy status imigracyjny. Za brak rejestracji grozi 200 dolarów dziennie, a za fałszywe informacje 25 000 dolarów plus 1 000 dziennie. Sekretarz stanu ma zbadać możliwość wprowadzenia scentralizowanego mechanizmu usuwania danych. Przepisy dotyczące brokerów wchodzą w życie 1 stycznia 2027.
Vermont bans AI-only therapy and tightens data broker rules →
ChatGPT czyta teraz wyciągi bankowe – nowa funkcja finansowa OpenAI
OpenAI udostępniło w maju 2026 roku w USA funkcję finansową dla subskrybentów Pro. ChatGPT łączy się z ponad 12 000 instytucji finansowych przez Plaid i pokazuje salda, wydatki, portfele inwestycyjne i subskrypcje. Domyślnym modelem jest GPT-5.5 Thinking. Użytkownicy mogą zadawać pytania o cele oszczędnościowe, analizę podróży czy audyt abonamentów. ChatGPT nie ma dostępu do pełnych numerów kont i nie może wykonywać transakcji. Odłączenie konta usuwa dane w ciągu 30 dni. OpenAI nie ujawniło, czy dane finansowe wpływają na targetowanie reklam – na razie subskrybenci Pro nie widzą reklam, a platforma reklamowa OpenAI wyklucza reklamodawców z sektora finansowego. Eksperci ostrzegają, że połączenie danych bankowych z profilowaniem mogłoby stworzyć niespotykane dotąd możliwości reklamowe. Pozew Florydy przeciw OpenAI z czerwca 2026 wymienia zbieranie danych finansowych jako jeden z centralnych problemów. Firma zapowiada rozszerzenie funkcji na subskrybentów Plus i użytkowników darmowych.
ChatGPT can read your bank statements now - here’s what it knows →
Anthropic wprowadza weryfikację biometryczną dla kont Claude
Anthropic opublikowało 8 czerwca 2026 roku nową politykę prywatności, która wchodzi w życie 8 lipca. Najważniejszą zmianą jest sekcja Verification Data – firma może poprosić użytkowników konsumenckich (plany Free, Pro i Max) o weryfikację wieku lub tożsamości. Zbierane dane obejmują skan dokumentu tożsamości, zdjęcie twarzy i szablony geometrii twarzy, które w niektórych jurysdykcjach uznawane są za dane biometryczne. Weryfikację przeprowadza zewnętrzny dostawca Persona Identities. Polityka wymienia podstawy prawne: zgoda, uzasadniony interes, obowiązek prawny i żywotne interesy – przy czym ta ostatnia, zwykle zarezerwowana dla sytuacji życia i śmierci, nie została wyjaśniona. Zaktualizowano też zapisy o sesjach agencyjnych Claude – dane mogą być wysyłane do usług zewnętrznych w ramach wykonywanych zadań. Pojawiła się też nowa kategoria Study Participation Data. Zmiany nie dotyczą planów Team i Enterprise. Firma przyjęła 30-dniowe okno na usunięcie rozmów, a dane wykorzystywane do trenowania modeli mają być agregowane, choć możliwa jest ponowna identyfikacja.
Anthropic’s new privacy policy adds biometric checks to Claude accounts →
Aplikacje AI dla dzieci szpiegują użytkowników – analiza Cybernews
Cybernews przeanalizowało 10 aplikacji towarzyszących dla dziecięcych zabawek AI. Wykryto, że połowa wszystkich deklarowanych uprawnień jest uznawana za niebezpieczne przez standardy Androida. Śledzące oprogramowanie firm trzecich znaleziono w 7 z 10 aplikacji – w tym trackery reklamowe, profilujące i lokalizacyjne. Wszystkie aplikacje wymagały dostępu do dokładnej lokalizacji, sześć do mikrofonu, pięć do kamery. Loona posiadała również tracker lokalizacji. Badacze podkreślają, że dzieci nie rozumieją konsekwencji udostępniania danych. W Stanach Zjednoczonych zaktualizowane przepisy FTC ograniczają przechowywanie danych i wymagają zgody na targetowanie reklam do dzieci. Eksperci apelują do programistów o minimalizację uprawnień i do rodziców o większą kontrolę nad technologią używaną przez dzieci.
Experts warns AI toy apps for kids are tracking users and collecting personal data →
Bracia z Singapuru budują niełamliwe szyfrowanie na bazie równań diofantycznych
Lim Meng Liang, 38-letni matematyk stosowany z Narodowego Uniwersytetu Singapuru, wraz z bratem Kenem Linem założyli firmę Aires Applied Quantum Technology. Opracowali metodę szyfrowania wykorzystującą równania diofantyczne – problemy matematyczne bez rozwiązań. Ich flagowy produkt LionGuard to aplikacja mobilna szyfrująca pliki na urządzeniach i w chmurze. Miesięczna subskrypcja kosztuje 388 dolarów na użytkownika. Aires zdobył ponad 2 miliony dolarów od prywatnych inwestorów i agencji. Firma posiada cztery międzynarodowe patenty, w tym na szyfrowanie kodów 2D (QR, kody kreskowe), co jest pilotażowo wdrażane w Europie. LionGuard jest w fazie beta i ma ponad 100 subskrybentów, głównie z branż naftowej, edukacji i bankowości. Bracia twierdzą, że standardowy komputer potrzebowałby 1000 lat na złamanie obecnego szyfrowania, a kwantowy – dwa dni, ale ich rozwiązanie jest odporne na ataki kwantowe. Firma szuka finansowania na skalę globalną i planuje debiut giełdowy.
Singaporean brothers use unsolvable maths equations to build modern, unbreakable encryption →
Kanadyjczycy mają dni na zgłoszenie roszczeń po wycieku LastPass
Obywatele Kanady dotknięci naruszeniem danych LastPass z 2022 roku mogą ubiegać się o odszkodowanie z puli 3 milionów dolarów amerykańskich (około 4,2 mln CAD). Termin składania wniosków upływa 23 czerwca 2026 roku o 23:59 czasu PT. Atak polegał na kradzieży poświadczeń pracownika i dostępie do danych szyfrowanych i nieszyfrowanych. Na 1 102 688 kont użytkowników w Kanadzie, co najmniej 218 087 nie zawierało żadnych danych. Pozew zbiorowy wniesiony do Sądu Najwyższego Kolumbii Brytyjskiej zarzucał zaniedbanie i nieodpowiednie powiadomienie o wycieku. Ugoda sądowa, zatwierdzona 18 lutego, nie stanowi przyznania się do winy. Dostępne są trzy rodzaje roszczeń: za stracony czas (do 170,05 CAD), wydatki rzeczowe (do 500 CAD) oraz straty w kryptowalutach. Wnioski składa się przez stronę internetową.
Canadians have days left to claim up to $500 in $4M data breach settlement →
📡 Z social mediów
Anthropic wymaga okazania dowodu osobistego przed odblokowaniem funkcji Claude
Anthropic zaczęło wymagać od użytkowników weryfikacji tożsamości za pomocą rządowego dokumentu ze zdjęciem, aby odblokować niektóre funkcje Claude’a. Proces prowadzony jest przez firmę Persona, należącą do portfela Petera Thiela. Jak zauważyli eksperci, kod źródłowy Persony był pozostawiony na publicznym serwerze. Weryfikacja wiąże się z przekazaniem danych biometrycznych, co budzi obawy o prywatność, szczególnie w kontekście skandalu z wyciekiem kodu.