Серьезные обвинения против стартапа по соблюдению требований
Стартап Delve, поддерживаемый Y Combinator, столкнулся с серьезными обвинениями в мошенничестве со стороны анонимного автора. В посте, опубликованном на платформе Substack, утверждается, что компания ложно убеждала сотни клиентов в том, что они соответствуют требованиям конфиденциальности и безопасности, потенциально подвергая их уголовной ответственности согласно HIPAA и крупным штрафам по GDPR. Обвинения были опубликованы на этой неделе пользователем под псевдонимом DeepDelver, который описал себя как сотрудника бывшего клиента Delve, согласно TechCrunch.
Delve — это стартап, который в прошлом году объявил о привлечении 32 миллионов долларов в рамках серии A при оценке компании в 300 миллионов долларов. Раунд финансирования возглавил Insight Partners. В пятницу стартап попытался опровергнуть обвинения в своем блоге, назвав пост в Substack "вводящим в заблуждение" и заявив, что он "содержит ряд неточных утверждений".
Предыстория конфликта и расследование клиентов
История началась в декабре, когда DeepDelver получил электронное письмо с утверждением о том, что стартап "слил таблицу с конфиденциальными отчетами клиентов". Генеральный директор Delve Карун Каушик (Karun Kaushik) заверил клиентов в последующем письме, что они соответствуют требованиям и что никакая внешняя сторона не получила доступ к конфиденциальным данным. Однако этот инцидент вызвал подозрения у DeepDelver и других клиентов компании.
Недовольные клиенты решили объединить усилия для проведения собственного расследования деятельности Delve. Как объяснил DeepDelver:
"Имея общий опыт разочарования от работы с Delve и общее ощущение, что что-то подозрительное происходит, мы решили объединить ресурсы и провести расследование вместе". Результаты этого расследования легли в основу обвинений, опубликованных на Substack на этой неделе.
Детали обвинений в мошеннических практиках
Согласно обвинениям DeepDelver, Delve достигает своих заявлений о том, что является самой быстрой платформой, путем производства поддельных доказательств и генерации выводов аудиторов от имени "сертификационных фабрик", которые просто штампуют отчеты. Автор утверждает, что компания пропускает основные требования фреймворков, при этом сообщая клиентам, что они достигли 100% соответствия требованиям.
DeepDelver подробно описал эти практики, обвинив стартап в предоставлении клиентам "сфабрикованных доказательств заседаний советов директоров, тестов и процессов, которые никогда не происходили", а затем принуждении этих клиентов "выбирать между принятием поддельных доказательств или выполнением в основном ручной работы с небольшой реальной автоматизацией или ИИ".
Особое внимание в обвинениях уделяется схеме с аудиторскими фирмами. По утверждению DeepDelver, практически все клиенты Delve прошли через две аудиторские фирмы — Accorp и Gradient, которые описываются как "часть одной операции". Эти фирмы работают в основном в Индии и имеют только номинальное присутствие в США. Согласно обвинениям, эти фирмы просто штампуют отчеты, которые были сгенерированы самой Delve.
Структурное мошенничество и нарушение процедур аудита
Наиболее серьезным обвинением является утверждение о том, что Delve "инвертирует" нормальную структуру соблюдения требований. DeepDelver объясняет это следующим образом:
"Генерируя выводы аудиторов, процедуры тестирования и финальные отчеты до того, как происходит какая-либо независимая проверка, Delve ставит себя в роль как исполнителя, так и экзаменатора. Это не техническая деталь. Это структурное мошенничество, которое делает недействительной всю аттестацию".
Кроме обвинений в введении в заблуждение своих клиентов, DeepDelver утверждает, что стартап помогает этим клиентам "вводить в заблуждение общественность, размещая страницы доверия, которые содержат меры безопасности, которые никогда не были реализованы". Автор также упомянул любопытную деталь: пока его компания обсуждала проблемы с Delve, стартап "отправил нам несколько коробок пончиков [...] чтобы мы были довольны".
Уязвимости безопасности и дополнительные свидетельства
После публикации первоначального поста в Substack появились дополнительные свидетельства проблем с безопасностью Delve. Пользователь X по имени Джеймс Чжоу (James Zhou) заявил, что смог получить доступ к конфиденциальной информации от Delve, включая проверки биографий сотрудников и графики наделения акциями. Эта информация указывает на серьезные уязвимости в системах безопасности компании.
Основатель Dvuln Джеймисон О'Рейли (Jamieson O'Reilly) поделился дополнительными подробностями из разговора с Чжоу о "нескольких зияющих дырах в безопасности во внешней поверхности атак Delve". Эти свидетельства усиливают обвинения против компании и ставят под сомнение способность Delve обеспечивать безопасность данных своих клиентов.
Ответ компании на обвинения
В ответ на обвинения Delve заявила, что вообще не выпускает отчеты о соответствии требованиям. Вместо этого компания позиционирует себя как "платформу автоматизации", которая собирает информацию о соответствии требованиям, а затем предоставляет аудиторам доступ к этой информации.
"Финальные отчеты и заключения выпускаются исключительно независимыми лицензированными аудиторами, а не Delve", — заявила компания.
Delve также утверждает, что ее клиенты "могут выбрать работу с аудитором по своему выбору или выбрать работу с одним из сети независимых аккредитованных сторонних аудиторских фирм Delve". По словам стартапа, эти аудиторы являются "признанными фирмами, широко используемыми в отрасли, включая другие платформы соответствия требованиям". В ответ на обвинения в предоставлении "поддельных доказательств" Delve возразила, что просто предлагает "шаблоны, чтобы помочь командам документировать свои процессы в соответствии с требованиями соответствия, как это делают другие платформы соответствия".
"Черновые шаблоны — это не то же самое, что 'предварительно заполненные доказательства'", — заявила компания.
Текущее состояние расследования
Delve сообщила, что "активно расследует любые утечки" и "все еще изучает Substack". Компания пока не предоставила детального опровержения всех выдвинутых против нее обвинений. TechCrunch попыталась связаться с компанией для получения дополнительных комментариев, отправив письмо на медиа-контакт, указанный на веб-сайте Delve, однако письмо вернулось с ошибкой доставки.
