Delve imputado de engañar a los clientes con un “cumplimiento aparente”

Un publicación anónima de subpila publicado esta semana acusa a startup de cumplimiento Inquirir de convencer “falsamente” a “cientos de clientes de que cumplían” las normas de privacidad y seguridad, exponiendo potencialmente a esos clientes a “responsabilidad penal según HIPAA y fuertes multas según GDPR”.

Delve es una startup respaldada por Y Combinator que el año pasado anunció la cobranza de una Serie A de $ 32 millones con una valoración de 300 millones de dólares. (La ronda fue dirigida por Insight Partners). El viernes, la startup intentó refutar las acusaciones. en su blogcalificando la publicación de Substack como “engañosa” y diciendo que “contiene una serie de afirmaciones inexactas”.

La publicación de Substack se atribuye a “DeepDelver”, quienes se describieron como trabajando en un (ahora ex) cliente de Delve.

DeepDelver relató favor recibido un correo electrónico en diciembre afirmando que la startup había “filtrado una hoja de cálculo con informes confidenciales de clientes”. Si correctamente el director ejecutante de Delve, Karun Kaushik, aparentemente aseguró a los clientes en un correo electrónico posterior que cumplían y que ningún tercero obtuvo acercamiento a datos confidenciales, DeepDelver dijo que ellos y otros clientes habían comenzado a sospechar.

“Teniendo la experiencia compartida de sentirnos decepcionados con la experiencia Delve y teniendo la sensación genérico de que poco sospechoso estaba sucediendo, decidimos aunar posibles e investigar juntos”, escribieron.

¿Su conclusión? Que Delve “logra su afirmación de ser la plataforma más rápida al producir evidencia falsa, producir conclusiones de los auditores en nombre de las fábricas de certificación que avalan los informes y evitar los principales requisitos del entorno mientras les dice a los clientes que han acabado el 100% de cumplimiento”.

DeepDelver entró en detalles considerables sobre esas afirmaciones, acusando a la startup de proporcionar a los clientes “evidencia fabricada de reuniones de la comité, pruebas y procesos que nunca sucedieron”, y luego obligó a esos clientes a “nominar entre adoptar evidencia falsa o realizar trabajo principalmente manual con poca automatización vivo o IA”.

DeepDelver igualmente afirmó que prácticamente todos los clientes de Delve parecen favor pasado por dos firmas de auditoría, Accorp y Gradient, que describieron como “parte de la misma operación”, una que opera principalmente en India, con sólo una presencia nominativo en Estados Unidos.

Esas empresas, dijeron, son sólo informes aprobados generados por Delve. Como resultado, DeepDelver dijo que la startup “invierte” la estructura de cumplimiento regular: “Al producir conclusiones del auditor, procedimientos de prueba e informes finales antiguamente de que se produzca cualquier revisión independiente, Delve se coloca en el papel de implementador y examinador. Esto no es un tecnicismo. Es un fraude estructural que invalida toda la certificación”.

Adicionalmente de mostrar a Delve de engañar a sus clientes, DeepDelver dijo que la startup está ayudando a esos clientes a “engañar al divulgado alojando páginas de confianza que contienen medidas de seguridad que nunca se implementaron”.

DeepDelver dijo que mientras su empresa discutía sus problemas con Delve, la startup “nos envió varias cajas de donas (…) para mantenernos contentos”. No obstante, el empleador de DeepDelver supuestamente anuló la publicación de su página de confianza y ya no depende de la startup para su cumplimiento.

Delve respondió a las acusaciones diciendo que no emite ningún noticia de cumplimiento. En cambio, es una “plataforma de automatización” que ingiere información sobre el cumplimiento y luego proporciona a los auditores acercamiento a esa información.

“Los informes y opiniones finales son emitidos nada más por auditores autorizados independientes, no por Delve”, dijo la compañía.

Delve igualmente dijo que sus clientes “pueden optar por trabajar con un auditor de su alternativa u optar por trabajar con uno de la red de firmas de auditoría independientes y acreditadas de Delve”. Esos auditores, dijo la startup, son “empresas establecidas que se utilizan ampliamente en toda la industria, incluidas otras plataformas de cumplimiento”.

En respuesta a la inculpación de que proporciona a los clientes “evidencia falsa”, Delve respondió que simplemente ofrece “plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento, al igual que otras plataformas de cumplimiento”.

“Los borradores de plantillas no son lo mismo que las ‘evidencias precargadas’”, dijo la compañía.

Delve agregó que está “investigando activamente cualquier fuga” y “todavía está revisando el Substack”.

A posteriori de la publicación original de Substack, un afortunado de X llamado James Zhou dicho pudieron obtener acercamiento a información confidencial de Delve, como verificaciones de circunstancias de los empleados y cronogramas de adquisición de renta. Jamieson O’Reilly, fundador de Dvuln compartió más detalles de lo que O’Reilly dijo fue una conversación con Zhou sobre “varios agujeros de seguridad en la superficie de ataque foráneo de Delve”.

TechCrunch envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto con los medios que figura en el sitio web de Delve. El correo electrónico rebotó, pero seguidamente recibí una invitación del calendario para una “demostración de Delve” a finales de esta semana. TechCrunch igualmente se comunicó con DeepDelver para obtener comentarios adicionales.

Esta publicación se actualizó con información adicional sobre supuestas vulnerabilidades de seguridad proporcionada por Jamieson O’Reilly y detalles adicionales sobre la respuesta de Delve a TechCrunch.