Zahájení Compliance Delve bylo vyřazeno z portfolia Y Combinator (YC), což signalizuje velké selhání po obviněních z klamání zákazníků a pochybných provozních praktik. Společnost již není uvedena na webových stránkách YC a COO společnosti Delve Celine Kochalar potvrdila rozdělení na X (dříve Twitter) slovy: “YC a Delve se rozešli.” Tento krok následuje po podobném distancování se od společnosti Insight Partners, která dočasně odstranila odkazy na své investice, než obnovila část obsahu.
Podstata konfliktu
V centru sporu jsou obvinění od anonymního zdroje, „DeepDelver“, který tvrdí, že Delve zkreslilo své schopnosti shody tím, že potenciálně prodávalo klientům neúčinné certifikáty. Společnost DeepDelver sdílela uniklá data a interní korespondenci, která naznačovala, že Delve automatizoval zprávy pro pochybné CA, čímž obcházel požadované kontroly due diligence.
Obvinění zesílila, když byl malware objeven v open source projektu používaném klientem Delve, LiteLLM. I když přesné spojení zůstává nejasné, incident přispívá k rostoucí kritice týkající se bezpečnosti a provozní integrity Delve.
Odpověď Delve: Útok nebo expozice?
Vedoucí pracovníci společnosti Delve Karun Kaushik a Celine Kochalar obvinění vehementně odmítají a označují je za koordinovanou pomlouvačnou kampaň organizovanou útočníkem. Tvrdí, že útočník získal přístup pod falešnou záminkou, ukradl data a použil je k poškození pověsti Delve.
Společnost tvrdí, že si najala společnost zabývající se kybernetickou bezpečností, aby prošetřila, přičemž uvádí důkazy o krádeži dat a obviňuje DeepDelver z vymýšlení a selektivní manipulace s důkazy. Obhajují také používání nástrojů s otevřeným zdrojovým kódem a tvrdí, že dodrželi licenční podmínky a výrazně zlepšili software, aby vyhovoval.
Opatření k minimalizaci škod
Pro zmírnění dopadu společnost Delve oznámila několik nápravných opatření:
- Vyloučení auditorských firem, které nesplňují jejich standardy.
- Nabízet bezplatné opakované audity a penetrační testy stávajícím zákazníkům.
- Vyjasněte, že jejich šablony jsou zamýšleny jako výchozí bod, a nikoli jako konečná řešení souladu.
Generální ředitel Kaushik připustil, že společnost rostla příliš rychle, aniž by splnila své vlastní standardy, a dotčeným zákazníkům se omluvil.
“Vyrostli jsme příliš rychle a nesplňovali jsme naše vlastní standardy. Našim zákazníkům se hluboce omlouváme za nepříjemnosti, které to způsobilo.” — Karun Kaushik
Co to znamená?
Situace společnosti Delve zdůrazňuje rizika spojená s rychle rostoucími startupy, které upřednostňují rozsah před ověřováním dat. Tato obvinění, bez ohledu na jejich pravdivost, podkopala důvěru investorů a vyvolala otázky ohledně přísnosti dodržování předpisů v technologickém sektoru. Vyloučení Y Combinatoru je jasným signálem, že i vysoce selektivní akcelerátory přeruší vazby se společnostmi, které čelí vážným problémům s integritou.
Tento incident zdůrazňuje důležitost transparentnosti, zabezpečení dat a důkladné due diligence jak pro startupy, tak pro jejich zákazníky. Bez toho se mohou i slibné podniky rychle zhroutit pod drobnohledem.
