Анонимный пост на Substack, опубликованный на этой неделе, обвиняет стартап в сфере комплаенса Delve в том, что он «ложно» убедил «сотни клиентов в их соответствии» нормам приватности и безопасности. По мнению автора, это могло подвергнуть клиентов угрозе уголовной ответственности по HIPAA и крупным штрафам по GDPR.
Delve — стартап, поддержанный Y Combinator, который в прошлом году объявил о привлечении $32 млн в рамках раунда Series A при оценке в $300 млн (инвестиции возглавила Insight Partners). В пятницу компания попыталась опровергнуть обвинения в своём блоге, назвав пост на Substack «вводящим в заблуждение» и содержащим «ряд неточных утверждений».
Расследование бывшего клиента
Пост в Substack опубликован под псевдонимом «DeepDelver», который описывает себя как сотрудника (ныне бывшего) клиента Delve. Автор рассказал, что в декабре получил письмо о том, что стартап «утекнул таблицу с конфиденциальными отчётами клиентов». Хотя генеральный директор Delve Карун Каушик в последующем письме якобы заверил клиентов в их соответствии и отсутствии доступа внешних сторон к чувствительным данным, DeepDelver и другие клиенты забеспокоились.
«Имея общий опыт разочарования в работе с Delve и общее ощущение, что происходит что-то подозрительное, мы решили объединить ресурсы и провести совместное расследование», — написал автор.
Их вывод? Delve «добивается заявления о том, что является самой быстрой платформой, путём создания фальшивых доказательств, генерации выводов аудиторов от имени сертификационных фабрик, штампующих отчёты, и пропуска основных требований стандартов, при этом говоря клиентам, что они достигли 100% соответствия».
Детали обвинений
DeepDelver привёл значительные детали, обвинив стартап в предоставлении клиентам «сфабрикованных доказательств проведения собраний совета директоров, тестов и процессов, которые никогда не происходили». После этого клиентам якобы приходилось «выбирать между принятием фальшивых доказательств или выполнением в основном ручной работы с минимальной реальной автоматизацией или ИИ».
Также утверждается, что практически все клиенты Delve проходили через две аудиторские фирмы — Accorp и Gradient, которые описаны как «часть одной операции», базирующейся в основном в Индии и имеющей лишь номинальное присутствие в США. По словам автора, эти фирмы просто штампуют отчёты, сгенерированные Delve.
В результате, по утверждению DeepDelver, стартап «инвертирует» нормальную структуру комплаенса: «Генерируя выводы аудиторов, тестовые процедуры и итоговые отчёты до какого-либо независимого обзора, Delve ставит себя в роль как исполнителя, так и проверяющего. Это не техническая деталь. Это структурное мошенничество, которое аннулирует всю процедуру аттестации».
Помимо обвинений в введении клиентов в заблуждение, DeepDelver заявил, что стартап помогает клиентам «вводить в заблуждение общественность, размещая страницы доверия, содержащие меры безопасности, которые никогда не внедрялись».
Ответ Delve и новые утечки
Delve ответила на обвинения, заявив, что вообще не выдаёт отчёты о соответствии. Вместо этого это «платформа автоматизации», которая собирает информацию о комплаенсе и предоставляет аудиторам доступ к этой информации. «Итоговые отчёты и заключения выдаются исключительно независимыми, лицензированными аудиторами, а не Delve», — заявила компания.
Delve также отметила, что её клиенты «могут выбрать работу с аудитором по своему выбору или с одним из независимых аккредитованных аудиторских фирм из сети Delve». Эти аудиторы, по словам стартапа, являются «устоявшимися фирмами, широко используемыми в отрасли, в том числе другими комплаенс-платформами».
Отвечая на обвинение в предоставлении «фальшивых доказательств», Delve парировала, что просто предлагает «шаблоны, чтобы помочь командам документировать свои процессы в соответствии с требованиями соответствия, как это делают другие комплаенс-платформы». «Черновые шаблоны — это не то же самое, что „предзаполненные доказательства“», — заявила компания.
После первоначального поста пользователь X под именем Джеймс Чжоу заявил, что смог получить доступ к конфиденциальной информации Delve, такой как проверки биографических данных сотрудников и графики наделения правами на акции. Основатель Dvuln Джеймисон О’Рейли поделился подробностями из разговора с Чжоу о «нескольких огромных дырах в безопасности внешней поверхности атаки Delve».
Delve добавила, что «активно расследует любые утечки» и «вс ещё изучает пост на Substack».
