Індійський стартап з доставки продуктів KiranaPro опинився у центрі гучного скандалу через масову втрату даних, внаслідок чого компанія не може впевнено стверджувати, чи сталася атака ззовні, чи інцидент був спричинений діями співробітника.
Про це розповідає ProIT
Деталі втрати даних та розслідування компанії
Минулого тижня стартап із міста Бангалор виявив, що втратив доступ до бекенд-серверів, а всі дані, включно з кодом застосунку, були видалені з GitHub. Спочатку компанія звинуватила у цьому колишнього співробітника, однак співзасновник і генеральний директор Deepak Ravindran визнав, що акаунт цього працівника не було деактивовано після звільнення, що залишило можливість для зловмисного використання облікового запису.
“Якщо ми хочемо розібратися глибше, доведеться провести справжнє судово-технічне розслідування. Ми обговоримо це з радою директорів, інвесторами і юридичними радниками, щоб отримати офіційну думку”.
У дописі на платформі X Ravindran заявив, що після ретельного аналізу компанія дійшла висновку: це не був зовнішній злам, а внутрішнє порушення безпеки. Він підкреслив, що жодна стороння особа не отримувала доступу до систем замовлень чи платежів і не обходила системи захисту.
Засновник також опублікував скриншот профілю одного з колишніх працівників у LinkedIn, звинувативши його у видаленні коду стартапу. При цьому компанія не надала переконливих доказів своєї позиції.
За словами Ravindran, все, що є у розпорядженні компанії, — це листи від GitHub, у яких зазначено, що саме обліковий запис ексспівробітника видалив дані. Стартап не проводив подальшого розслідування, а підставою для звинувачень стала відповідь служби підтримки GitHub, яку представник KiranaPro надав журналістам.
Проблеми з безпекою та відновлення даних
KiranaPro працює як застосунок для покупців на платформі Open Network for Digital Commerce уряду Індії. Компанія дає змогу понад 55 тисячам клієнтів у 50 містах купувати продукти у місцевих магазинах та супермаркетах, підтримуючи голосовий інтерфейс та локальні мови, зокрема англійську, гінді, малаялам і тамільську.
Розслідування показало, що акаунт співробітника не був вчасно відключений, а офіційних процесів звільнення не було через відсутність штатного HR-менеджера. Залишається невідомим, чи використовувалися на пристроях захисні механізми, зокрема багатофакторна автентифікація, які могли б запобігти сторонньому доступу через шкідливе ПЗ.
Окрім GitHub, KiranaPro втратила доступ і до облікового запису Amazon Web Services (AWS), де зберігалися дані клієнтів і інформація про транзакції. Після отримання резервної копії від одного з працівників компанія змогла відновити дані на GitHub і повернути доступ до AWS із клієнтською інформацією.
Керівництво стартапу стверджує, що акаунт AWS був захищений багатофакторною автентифікацією, однак наразі невідомо, яким чином було здійснено доступ, оскільки лише у Ravindran був фізичний доступ до пристрою з кодом підтвердження. За словами співзасновника, жодна стороння особа не завантажувала дані клієнтів із хмарного сховища, і про це не надходило жодного сповіщення на електронну пошту.
У KiranaPro наголошують, що мають достатньо підстав для подачі офіційної скарги до поліції, однак розслідування ще триває. Крім того, співзасновник підтвердив, що компанія повністю не виплатила зарплатню чинним співробітникам, незважаючи на нещодавнє отримання інвестиційного раунду в розмірі 100 мільйонів індійських рупій (приблизно 1,2 мільйона доларів США), які ще не надійшли на рахунок повністю.
Серед інвесторів стартапу — фонди Blume Ventures, Unpopular Ventures, Turbostart, а також олімпійська призерка PV Sindhu і керуючий директор Boston Consulting Group Вікас Танеджа. KiranaPro має 15 співробітників у Бангалорі та Кералі.