Delve-ს „ყალბ შესაბამისობაში“ ადანაშაულებენ: სკანდალი უსაფრთხოების ტექნოლოგიურ სტარტაპში

ამ კვირაში გამოქვეყნებული ანონიმური პოსტი Substack-ზე სტარტაპ Delve-ს ადანაშაულებს იმაში, რომ მან ასობით მომხმარებელი „სიცრუით დაარწმუნა“ მონაცემთა კონფიდენციალურობისა და უსაფრთხოების რეგულაციებთან შესაბამისობაში. ბრალდების თანახმად, ამ ქმედებამ მომხმარებლები HIPAA-ს ფარგლებში სისხლისსამართლებრივი პასუხისმგებლობის, ხოლო GDPR-ის მიხედვით — სოლიდური ჯარიმების რისკის ქვეშ დააყენა.

Delve არის Y Combinator-ის მიერ მხარდაჭერილი სტარტაპი, რომელმაც გასულ წელს 300 მილიონი დოლარის შეფასებით 32 მილიონი დოლარის მოცულობის A სერიის დაფინანსება მოიზიდა. აღნიშნულ რაუნდს Insight Partners ხელმძღვანელობდა. პარასკევს სტარტაპმა საკუთარ ბლოგზე სცადა ბრალდებების უარყოფა, სადაც Substack-ის პოსტს „შეცდომაში შემყვანი“ უწოდა და განაცხადა, რომ ის არაერთ არაზუსტ მტკიცებულებას შეიცავს.

Substack-ის პოსტის ავტორი, ფსევდონიმით „DeepDelver“, საკუთარ თავს Delve-ს ყოფილ კლიენტად ახასიათებს. ავტორი იხსენებს დეკემბერში მიღებულ ელექტრონულ წერილს, რომლის მიხედვითაც სტარტაპმა „კონფიდენციალური კლიენტების ანგარიშების შემცველი ცხრილი გაჟონა“. მიუხედავად იმისა, რომ Delve-ს აღმასრულებელმა დირექტორმა, კარუნ კაუშიკმა, მოგვიანებით დაარწმუნა კლიენტები, რომ ისინი კვლავ შესაბამისობაში იყვნენ და სენსიტიურ მონაცემებზე წვდომა გარე პირებს არ ჰქონიათ, DeepDelver-ის თქმით, მას და სხვა მომხმარებლებს ეჭვი მაინც გაუჩნდათ.

ბრალდებები გაყალბებული მტკიცებულებების შესახებ

გამოძიების შედეგად ავტორი ასკვნის, რომ Delve-ი „ყველაზე სწრაფი პლატფორმის“ სტატუსს ყალბი მტკიცებულებების შექმნით, აუდიტორული დასკვნების გენერირებითა და ძირითადი მოთხოვნების გამოტოვებით აღწევს, პარალელურად კი კლიენტებს ატყუებს, თითქოს მათ 100%-იანი შესაბამისობა აქვთ. DeepDelver-ი დეტალურად აღწერს, თუ როგორ აწვდიდა სტარტაპი კლიენტებს საბჭოს სხდომების, ტესტებისა და პროცესების გაყალბებულ მტკიცებულებებს, რომლებიც სინამდვილეში არასდროს ჩატარებულა.

ბრალდების თანახმად, კლიენტები იძულებულნი ხდებოდნენ, ან მიეღოთ ეს ყალბი მტკიცებულებები, ან შესაბამისობის პროცესი მექანიკურად, ყოველგვარი რეალური ავტომატიზაციისა თუ ხელოვნური ინტელექტის გარეშე განეხორციელებინათ. ასევე აღინიშნა, რომ თითქმის ყველა კლიენტი ორ აუდიტორულ ფირმას — Accorp-სა და Gradient-ს იყენებდა. ავტორის მტკიცებით, ეს კომპანიები ერთი და იმავე ოპერაციის ნაწილია, რომლებიც ძირითადად ინდოეთში საქმიანობენ და აშშ-ში მხოლოდ ფორმალურად არიან წარმოდგენილნი. მისი თქმით, ეს ფირმები უბრალოდ „ბეჭედს არტყამდნენ“ Delve-ს მიერ მომზადებულ ანგარიშებს.

სტრუქტურული თაღლითობა და უსაფრთხოების რისკები

DeepDelver-ის განცხადებით, სტარტაპი ცვლის შესაბამისობის სტანდარტულ სტრუქტურას: „აუდიტორის დასკვნების, ტესტირების პროცედურებისა და საბოლოო ანგარიშების დამოუკიდებელ შემოწმებამდე მომზადებით, Delve ერთდროულად შემსრულებლისა და გამომცდელის როლში გვევლინება. ეს არ არის ტექნიკური ხარვეზი, ეს არის სტრუქტურული თაღლითობა, რომელიც აბათილებს მთელ ატესტაციას“. გარდა ამისა, სტარტაპს ბრალი ედება საზოგადოების შეცდომაში შეყვანაში ე.წ. „ნდობის გვერდების“ (trust pages) მეშვეობით, სადაც მითითებულია უსაფრთხოების ის ზომები, რომლებიც რეალურად არასდროს დანერგილა.

საინტერესოა, რომ როდესაც DeepDelver-ის კომპანია Delve-თან პრობლემებს განიხილავდა, სტარტაპმა მათ „დასამშვიდებლად“ რამდენიმე ყუთი დონატი გაუგზავნა. მიუხედავად ამისა, დამსაქმებელმა გააუქმა თავისი „ნდობის გვერდი“ და აღარ სარგებლობს სტარტაპის მომსახურებით.

Delve-ს პასუხი და ახალი დეტალები უსაფრთხოების ხარვეზებზე

Delve-მა ბრალდებებს უპასუხა და განაცხადა, რომ ის თავად არ გასცემს შესაბამისობის ანგარიშებს. კომპანიის განმარტებით, ისინი წარმოადგენენ „ავტომატიზაციის პლატფორმას“, რომელიც აგროვებს ინფორმაციას და აუდიტორებს მასზე წვდომას აძლევს. „საბოლოო ანგარიშებსა და დასკვნებს მხოლოდ დამოუკიდებელი, ლიცენზირებული აუდიტორები გასცემენ და არა Delve-ი“, — ნათქვამია კომპანიის განცხადებაში. მათ ასევე დასძინეს, რომ კლიენტებს შეუძლიათ თავად აირჩიონ აუდიტორი ან ისარგებლონ Delve-ს პარტნიორი დამოუკიდებელი ფირმებით.

რაც შეეხება „ყალბ მტკიცებულებებს“, სტარტაპი ამტკიცებს, რომ ისინი მხოლოდ შაბლონებს სთავაზობენ გუნდებს პროცესების დოკუმენტირებისთვის, ისევე როგორც სხვა მსგავსი პლატფორმები. „შაბლონების პროექტები არ არის იგივე, რაც წინასწარ შევსებული მტკიცებულებები“, — აცხადებენ კომპანიაში. პარალელურად, Delve აქტიურად იძიებს ინფორმაციის შესაძლო გაჟონვის ფაქტებს.

სკანდალის ფონზე, X-ის მომხმარებელმა ჯეიმს ჟოუმ განაცხადა, რომ მან შეძლო წვდომა მოეპოვებინა Delve-ს სენსიტიურ ინფორმაციაზე, როგორიცაა თანამშრომლების წარსულის შემოწმება და აქციების გადაცემის განრიგი. Dvuln-ის დამფუძნებელმა, ჯეიმისონ ო'რეილიმ, დამატებითი დეტალები გაავრცელა ჟოუსთან საუბრის საფუძველზე, სადაც საუბარი იყო Delve-ს საგარეო უსაფრთხოების სისტემაში არსებულ „კრიტიკულ ხვრელებზე“.

TechCrunch-მა სცადა დამატებითი კომენტარის მიღება Delve-ს ვებგვერდზე მითითებული მედიასთან ურთიერთობის მისამართზე, თუმცა წერილი უკან დაბრუნდა. მოგვიანებით კი გამოცემამ მიიღო კალენდრის მოწვევა „Delve-ს დემო ვერსიის“ პრეზენტაციაზე. გამოცემა ასევე დაუკავშირდა DeepDelver-ს დამატებითი ინფორმაციისთვის.