Американський стартап Delve, який спеціалізується на автоматизації процесів дотримання нормативних вимог (compliance) і нещодавно залучив $32 мільйони інвестицій при оцінці $300 мільйонів, опинився у центрі гучного скандалу. Анонімна публікація на Substack звинуватила компанію у введенні в оману сотень клієнтів щодо їхньої відповідності міжнародним стандартам конфіденційності та кібербезпеки, зокрема HIPAA та GDPR. Це, ймовірно, могло поставити під загрозу не лише репутацію клієнтів, а й спричинити для них кримінальну відповідальність та значні штрафи.
Про це розповідає ProIT
Анонімні звинувачення та деталі схеми
Публікація, підписана користувачем “DeepDelver”, який раніше працював у компанії-клієнті Delve, стверджує: стартап навмисно створює і надає підроблені докази проведення нарад, тестувань і процедур, які фактично не відбувалися. Клієнтів змушували або приймати ці фіктивні докази, або виконувати більшість процесів вручну, з мінімальною автоматизацією.
“Delve досягає заявленої швидкості платформи шляхом створення фальшивих доказів, генеруючи висновки аудиторів від імені сертифікаційних організацій, що просто штампують звіти, і пропускаючи ключові вимоги до нормативних фреймворків, водночас переконуючи клієнтів у 100% відповідності”
За словами DeepDelver, майже всі клієнти Delve проходили аудит через дві фірми — Accorp та Gradient, які, ймовірно, пов’язані між собою і діють переважно в Індії. Ці компанії, як стверджується, лише формально затверджували звіти Delve без належної незалежної перевірки, що, на думку DeepDelver, є структурним шахрайством.
Окрім цього, Delve звинувачують у розміщенні на «сторінках довіри» інформації про заходи безпеки, які насправді не були впроваджені. DeepDelver зазначив, що їхня компанія після розмов із Delve навіть видалила власну сторінку довіри та припинила співпрацю зі стартапом.
Відповідь Delve та додаткові звинувачення
Delve категорично відкидає ці звинувачення, заявляючи, що не випускає звіти про відповідність, а лише надає платформу для збору інформації та доступу аудиторів. За словами представників стартапу, фінальні звіти та висновки готують виключно незалежні сертифіковані аудитори, а клієнти можуть обирати як власних аудиторів, так і партнерів із мережі Delve.
Щодо шаблонів документів, які DeepDelver називає «фальшивими доказами», у Delve заявили, що це лише допоміжні шаблони для документування процесів, як і в інших платформах, і що чернетки не є заповненими доказами.
Стартап також повідомив, що розслідує можливі витоки інформації та продовжує вивчати ситуацію, викладену на Substack. DeepDelver, у свою чергу, назвав відповідь Delve неадекватною, оскільки компанія не прокоментувала ключові аспекти звинувачень, зокрема діяльність індійських аудиторських фірм, відсутність штучного інтелекту в платформі та розміщення неправдивої інформації на сторінках довіри.
Після публікації на Substack з’явилися й інші повідомлення про можливі вразливості Delve. Користувач X Джеймс Чжоу стверджує, що отримав доступ до конфіденційних даних компанії, включаючи результати перевірок співробітників і графіки нарахування акцій. Засновник Dvuln Джеймісон О’Рейлі навів додаткові приклади великих проблем із безпекою зовнішнього периметра Delve.
Поки що компанія продовжує аналізувати звинувачення, а DeepDelver анонсував другу частину розслідування найближчим часом.