Anonimowy wpis na Substackie autorstwa osoby podpisującej się jako 'DeepDelver' oskarża startup Delve — wspierany przez Y Combinator i mający niedawno rundę Series A — o wprowadzanie setek klientów w błąd co do ich zgodności z przepisami prywatności i bezpieczeństwa.
Co zarzuca autor Substacka?
Autor opisuje, że Delve rzekomo tworzy 'fałszywe dowody' i wytwarza wnioski audytorów przed niezależną kontrolą, co ma prowadzić do wystawiania klientom fałszywych deklaracji zgodności. Według wpisu klienci mieli być zmuszeni wybierać między przyjęciem takich materiałów a wykonaniem dużej ilości ręcznej pracy.
Szczegółowe zarzuty
- Fabrykowanie dowodów: rzekome generowanie dokumentów, protokołów testów i zapisów z posiedzeń zarządu, które nie miały miejsca.
- Powiązania z firmami audytorskimi: większość klientów miała przechodzić kontrole przez dwie firmy (Accorp i Gradient), które autor opisuje jako 'potencjalnie powiązane'.
- Odwrócenie roli audytora: Delve miało sporządzać raporty przed niezależnym przeglądem, co autor nazywa strukturalnym oszustwem.
Odpowiedź Delve
Delve odrzuca zarzuty: firma twierdzi, że nie wydaje raportów zgodności ani opinii audytorskich, a jedynie dostarcza platformę automatyzującą gromadzenie danych i szablony dokumentów. Według spółki końcowe raporty są wydawane wyłącznie przez niezależne, akredytowane firmy audytorskie, a klienci mogą wybierać audytora z sieci Delve lub zewnętrznego.
Zgłaszane luki i potencjalne konsekwencje
Po publikacji wpisu inni badacze bezpieczeństwa wskazali na możliwe wycieki danych i słabe punkty w powierzchni ataku Delve, w tym dostęp do poufnych informacji takich jak sprawdzenia przeszłości pracowników. Autor Substacka i badacze ostrzegają, że błędne potwierdzenie zgodności mogłoby narażać klientów na odpowiedzialność prawną, np. w ramach HIPAA lub GDPR.
- Delve twierdzi, że oferuje szablony dokumentów, nie 'wstępnie wypełnione dowody'.
- Firma bada rzekome wycieki i zapowiada przegląd zarzutów.
- Media próbowały skontaktować się z Delve; część prób komunikacji była utrudniona.
Sprawa pozostaje otwarta: zarówno autor Substacka, jak i niezależni badacze bezpieczeństwa podjęli kroki informacyjne, a Delve zapowiada własne dochodzenie. Klienci i firmy korzystające z narzędzi do automatyzacji zgodności powinni monitorować sytuację i weryfikować procesy audytowe zewnętrznie.
