Анонимный автор обвинил стартап Delve в фальсификации данных о соответствии нормативам
Обвинения в адрес Delve
На этой неделе на платформе Substack появилась анонимная публикация, в которой стартап Delve обвиняют в том, что он «ложно убеждал сотни клиентов в их соответствии» нормативам конфиденциальности и безопасности. Это, как утверждается, могло подвергнуть клиентов «уголовной ответственности по HIPAA и крупным штрафам по GDPR».
Delve — стартап при поддержке Y Combinator. В прошлом году компания привлекла 32 миллиона долларов в рамках раунда Series A при оценке в 300 миллионов долларов (раунд возглавил Insight Partners).
Ответ Delve
В пятницу стартап попытался опровергнуть обвинения в своём блоге, назвав публикацию на Substack «вводящей в заблуждение» и заявив, что она «содержит ряд неточностей».
Кто стоит за обвинениями
Автор публикации на Substack — DeepDelver — представился бывшим сотрудником одного из клиентов Delve. В ответ на вопросы TechCrunch DeepDelver заявил, что он и его коллеги «решили остаться анонимными из-за страха мести со стороны Delve».
Суть обвинений
- В декабре DeepDelver получил электронное письмо, в котором утверждалось, что стартап «утечил электронную таблицу с конфиденциальными отчётами клиентов».
- По словам DeepDelver, несмотря на заверения CEO Delve Каруна Каушика о том, что данные не попали к третьим лицам, клиенты начали подозревать неладное.
- DeepDelver утверждает, что Delve «достигает статуса самой быстрой платформы, создавая фальшивые доказательства, генерируя выводы аудиторов от имени сертификационных организаций, штампующих отчёты, и пропуская основные требования фреймворков, заявляя клиентам о 100 % соответствии».
- Автор публикации обвиняет стартап в предоставлении клиентам «сфабрикованных доказательств проведения заседаний совета директоров, тестов и процессов, которых никогда не было».
- Также утверждается, что Delve заставляет клиентов «выбирать между использованием фальшивых доказательств или выполнением в основном ручной работы с минимальной автоматизацией или ИИ».
Обвинения в отношении аудиторских фирм
DeepDelver заявил, что практически все клиенты Delve проходили аудит через две фирмы — Accorp и Gradient, которые, по его словам, «являются частью одной операции», базирующейся преимущественно в Индии с номинальным присутствием в США. Эти фирмы, как утверждается, просто штампуют отчёты, сгенерированные Delve.
«Создавая выводы аудиторов, процедуры тестирования и окончательные отчёты до проведения независимого аудита, Delve берёт на себя роль как исполнителя, так и проверяющего. Это не формальность. Это структурное мошенничество, которое делает недействительным весь процесс аттестации», — заявил DeepDelver.
Дополнительные обвинения
Кроме того, DeepDelver утверждает, что Delve помогает клиентам «вводить общественность в заблуждение, размещая на страницах доверия меры безопасности, которые никогда не были реализованы».
Реакция Delve на обвинения
Стартап заявил, что «вообще не выдаёт отчёты о соответствии», а является «платформой автоматизации», которая собирает информацию о соответствии и предоставляет аудиторам доступ к этой информации.
- «Окончательные отчёты и заключения выдаются исключительно независимыми лицензированными аудиторами, а не Delve», — заявили в компании.
- Delve также сообщил, что клиенты «могут выбрать аудитора по своему усмотрению или работать с аудитором из сети независимых аккредитованных сторонних аудиторских фирм Delve».
- В ответ на обвинения в предоставлении «фальшивых доказательств» Delve заявил, что просто предлагает «шаблоны, помогающие командам документировать свои процессы в соответствии с требованиями соответствия, как и другие платформы соответствия».
Стартап добавил, что «активно расследует любые утечки» и «всё ещё изучает публикацию на Substack».
Реакция DeepDelver на ответ Delve
DeepDelver заявил TechCrunch, что «ошеломлён ленью, неуклюжестью и наглостью ответа Delve».
«Они пытаются выкрутиться, отрицая наличие „предварительно заполненных доказательств“, но называя их „шаблонами“, фактически перекладывая вину на клиентов за использование „шаблонов“ в неизменном виде», — сказал DeepDelver.
Автор публикации также отметил, что Delve не ответил на «ряд очень серьёзных обвинений», включая обвинения, связанные с Индией, отсутствием ИИ и страницами доверия с мерами безопасности, которые никогда не были реализованы.
Дополнительные сведения
После первоначальной публикации на Substack пользователь X по имени Джеймс Чжоу заявил, что смог получить доступ к конфиденциальной информации Delve, такой как проверки биографических данных сотрудников и графики распределения акций. Основатель Dvuln Джеймисон О’Рейли поделился дополнительными подробностями о «нескольких серьёзных уязвимостях в системе защиты Delve».