Delve acusado de engañar a los clientes con un “cumplimiento falso”

Uno publicación anónima de subpila publicado esta semana acusa inicio de cumplimiento Profundizar de convencer “falsamente” a “cientos de clientes de que cumplían” las normas de privacidad y seguridad, exponiendo potencialmente a estos clientes a “responsabilidad penal según HIPAA y fuertes multas según GDPR”.

Delve es una startup respaldada por Y Combinator que el año pasado anunció recaudar US$ 32 millones para la Serie A con una valoración de 300 millones de dólares. (La ronda fue dirigida por Insight Partners). El viernes, la startup intentó refutar las acusaciones. en tu blogcalificar la publicación de Substack como “engañosa” y decir que “contiene una serie de afirmaciones inexactas”.

La publicación de Substack se atribuye a “DeepDelver”, quien se describió a sí mismo como trabajando en un (ahora antiguo) cliente de Delve.

DeepDelver informó haber recibido un correo electrónico en diciembre en el que se afirmaba que la startup había “filtrado una hoja de cálculo de informes confidenciales de clientes”. Aunque el director ejecutivo de Delve, Karun Kaushik, aparentemente aseguró a los clientes en un correo electrónico posterior que cumplían y que ningún tercero obtuvo acceso a datos confidenciales, DeepDelver dijo que ellos y otros clientes comenzaron a sospechar.

“Al tener la experiencia compartida de no estar impresionados con la experiencia de Delve y tener la sensación general de que algo sospechoso estaba sucediendo, decidimos reunir recursos e investigar juntos”, escribieron.

¿Su conclusión? Que Delve “logra su pretensión de ser la plataforma más rápida al producir evidencia falsa, generar conclusiones de auditoría en nombre de las fábricas de certificación que sellan informes e ignorar los requisitos clave del marco mientras les dice a los clientes que han logrado el 100% de cumplimiento”.

DeepDelver entró en detalles considerables sobre estas acusaciones, acusando a la startup de proporcionar a los clientes “evidencia fabricada de reuniones de la junta, pruebas y procesos que nunca sucedieron”, y luego obligó a esos clientes a “elegir entre adoptar evidencia falsa o realizar trabajo principalmente manual con poca automatización real o IA”.

DeepDelver también afirmó que prácticamente todos los clientes de Delve parecen haber pasado por dos firmas de auditoría, Accorp y Gradient, que describió como “parte de la misma operación”, una que opera principalmente en India, con sólo una presencia nominal en Estados Unidos.

Estas empresas, dijeron, son sólo informes aprobados generados por Delve. Como resultado, DeepDelver dijo que la startup “invierte” la estructura de cumplimiento normal: “Al generar conclusiones del auditor, procedimientos de prueba e informes finales antes de que se lleve a cabo cualquier revisión independiente, Delve se pone en el papel de implementador y examinador. Esto no es un tecnicismo. Es un fraude estructural que invalida toda la certificación”.

Además de acusar a Delve de engañar a sus clientes, DeepDelver dijo que la startup está ayudando a esos clientes a “engañar al público alojando páginas confiables que contienen medidas de seguridad que nunca se implementaron”.

DeepDelver dijo que mientras su empresa discutía sus problemas con Delve, la startup “ya nos envió varias cajas de donas para mantenernos contentos”. Sin embargo, según se informa, el empleador de DeepDelver ha anulado la publicación de su página de confianza y ya no depende de la startup para su cumplimiento.

Delve respondió a las acusaciones diciendo que no emite ningún informe de cumplimiento. Más bien, es una “plataforma de automatización” que ingiere información de cumplimiento y luego proporciona a los auditores acceso a esa información.

“Los informes y opiniones finales son emitidos exclusivamente por auditores independientes y autorizados, no por Delve”, dijo la empresa.

Delve también dijo que sus clientes “pueden optar por trabajar con un auditor de su elección o elegir trabajar con una de las redes de firmas de auditoría independientes y acreditadas de Delve”. Estos auditores, dijo la startup, son “empresas establecidas ampliamente utilizadas en toda la industria, incluidas otras plataformas de cumplimiento”.

En respuesta a la acusación de que está proporcionando “pruebas falsas” a los clientes, Delve respondió que simplemente ofrece “plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento, al igual que otras plataformas de cumplimiento”.

“Los borradores de plantillas no son lo mismo que ‘evidencias precargadas'”, dijo la compañía.

Delve agregó que está “investigando activamente cualquier fuga” y “aún revisando Substack”.

Después de la publicación inicial de Substack, un usuario de X llamado James Zhou el dijo pudieron obtener acceso a información confidencial de Delve, como verificaciones de antecedentes de los empleados y cronogramas de adquisición de derechos. Jamieson O’Reilly, fundador de Dvuln compartió más detalles De lo que O’Reilly dijo fue una conversación con Zhou sobre “varias fallas de seguridad en la superficie de ataque externa de Delve”.

TechCrunch envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto con los medios que figura en el sitio web de Delve. Me devolvieron el correo electrónico, pero luego recibí una invitación del calendario para una “demostración de Delve” a finales de esta semana. TechCrunch también contactó a DeepDelver para obtener comentarios adicionales.

Esta publicación se actualizó con información adicional sobre supuestas vulnerabilidades de seguridad proporcionada por Jamieson O’Reilly y detalles adicionales sobre la respuesta de Delve a TechCrunch.