An anonimni post na Substacku objavljen ovog tjedna optužuje startup za usklađenost Delve da je “lažno” uvjeravao “stotine klijenata da su usklađeni” s propisima o privatnosti i sigurnosti, što potencijalno izlaže te klijente “kriminalnoj odgovornosti prema HIPAA-i i visokim kaznama prema GDPR-u.”
Delve je startup podržan od strane Y Combinatora koji je prošle godine objavio da je prikupio 32 milijuna dolara u seriji A po procjeni od 300 milijuna dolara. (Rundu je vodio Insight Partners.) U petak, startup je pokušao opovrgnuti optužbe na svom blogu, nazivajući post na Substacku “zavaravajućim” i rekavši da “sadrži niz netočnih tvrdnji.”
Post na Substacku potpisuje “DeepDelver”, koji se opisuje kao radnik (sada bivši) klijenta Delve-a.
DeepDelver je ispričao kako je u prosincu primio e-mail koji tvrdi da je startup “procurio proračunsku tablicu s povjerljivim izvješćima klijenata.” Dok je izvršni direktor Delve-a Karun Kaushik očigledno uvjeravao klijente u sljedećem e-mailu da su usklađeni i da nijedna vanjska strana nije dobila pristup osjetljivim podacima, DeepDelver je rekao da su on i drugi klijenti postali sumnjičavi.
“Imajući zajedničko iskustvo razočaranja Delve-ovim uslugama, i osjećajući da se nešto čudno događa, odlučili smo udružiti resurse i istražiti zajedno,” napisali su.
Njihov zaključak? Da Delve “ostvaruje svoju tvrdnju o brzini platforme stvaranjem lažnih dokaza, generiranjem zaključaka revizora u ime certifikacijskih tvrtki koje odobravaju izvješća, i preskočivanjem glavnih zahtjeva okvira dok klijentima govore da su postigli 100% usklađenost.”
DeepDelver je detaljno opisao te tvrdnje, optužujući startup da klijentima pruža “fabricirane dokaze o sastancima uprave, testovima i procesima koji nikada nisu održani,” prisiljavajući te klijente da “biraju između prihvaćanja lažnih dokaza ili obavljanja većinom ručnog rada s malo stvarne automatizacije ili AI.”
DeepDelver je također tvrdio da gotovo svi Delve-ovi klijenti prolaze kroz dvije revizorske tvrtke, Accorp i Gradient, koje su opisali kao “dio iste operacije,” koja djeluje prvenstveno u Indiji, s samo nominalnom prisutnošću u Sjedinjenim Državama.
Te tvrtke, rekli su, samo odobravaju izvješća koja generira Delve. Kao rezultat toga, DeepDelver je rekao da startup “inverzira” normalnu strukturu usklađenosti: “Generiranjem zaključaka revizora, testnih postupaka i konačnih izvješća prije nego što se izvrši bilo kakav neovisni pregled, Delve se postavlja u ulogu i izvršitelja i ispita. Ovo nije tehnička pojedinost. To je strukturna prijevara koja poništava cijelu potvrdu.”
Uz optužbe da Delve obmanjuje svoje klijente, DeepDelver je rekao da startup pomaže tim klijentima “obmanjivati javnost hostanjem stranica povjerenja koje sadrže sigurnosne mjere koje nikada nisu implementirane.”
DeepDelver je rekao da je, dok je njihova tvrtka raspravljala o svojim problemima s Delve-om, startup “poslao nekoliko kutija krafni […] kako bi nas usrećio.” Ipak, poslodavac DeepDelvera navodno je uklonio svoju stranicu povjerenja i više se ne oslanja na startup za usklađenost.
Delve je na optužbe odgovorio rekavši da uopće ne izdaje izvješća o usklađenosti. Umjesto toga, to je “platforma za automatizaciju” koja prikuplja informacije o usklađenosti, a zatim revizorima omogućava pristup tim informacijama.
“Konačna izvješća i mišljenja izdaju isključivo neovisni, licencirani revizori, a ne Delve,” rekla je tvrtka.
Delve je također rekao da njegovi klijenti “mogu odabrati raditi s revizorom po vlastitom izboru ili odabrati raditi s nekim iz Delve-ove mreže neovisnih, akreditiranih revizorskih tvrtki.” Te revizorske tvrtke, rekao je startup, su “utvrđene tvrtke koje se široko koriste u industriji, uključujući i od strane drugih platformi za usklađenost.”
U odgovoru na optužbu da klijentima pruža “lažne dokaze,” Delve je uzvratio da jednostavno nudi “predloške kako bi pomogao timovima da dokumentiraju svoje procese u skladu s zahtjevima usklađenosti, kao što to čine i druge platforme za usklađenost.”
“Predlošci za nacrte nisu isto što i ‘prepunjeni dokazi’,” rekla je tvrtka.
Delve je dodao da “aktivno istražuje sve provale” i da “još uvijek pregledava Substack.”
Nakon prvotnog posta na Substacku, korisnik X pod imenom James Zhou rekao je da su uspjeli dobiti pristup osjetljivim informacijama iz Delve-a, poput provjera pozadine zaposlenika i rasporeda osiguravanja prava. Osnivač Dvulna, Jamieson O’Reilly podijelio je više detalja iz onoga što je O’Reilly nazvao razgovorom s Zhouom o “nekoliko ogoljenih sigurnosnih rupa u vanjskom napadačkom profilu Delve-a.”
TechCrunch je poslao e-mail tražeći dodatni komentar na adresu kontakt osobe navedene na Delve-ovoj web stranici. E-mail je odbijen, ali kasnije sam primio pozivnicu za kalendar za “Delve demo” kasnije ovog tjedna. TechCrunch se također obratio DeepDelveru za dodatni komentar.
Ovaj post je ažuriran s dodatnim informacijama o navodnim sigurnosnim ranjivostima koje je pružio Jamieson O’Reilly, kao i dodatnim detaljima o Delve-ovom odgovoru na TechCrunch.
