De compliance-startup Delve is geschrapt uit de Y Combinator (YC)-portfolio, wat wijst op aanzienlijke gevolgen na beschuldigingen van misleidende klanten en twijfelachtige operationele praktijken. Het bedrijf staat niet langer vermeld op de website van YC, en Delve COO Selin Kocalar bevestigde de splitsing op X en zei: “YC en Delve zijn uit elkaar gegaan.” Deze stap volgt op een soortgelijke afstandelijkheid van Insight Partners, die tijdelijk de vermeldingen van hun investering verwijderde voordat ze bepaalde inhoud herstelden.
De kern van de controverse
Het dispuut draait om beweringen van een anonieme bron, ‘DeepDelver’, die beweert dat Delve zijn nalevingsmogelijkheden verkeerd heeft voorgesteld, waardoor “mogelijk ineffectieve certificeringen aan klanten worden verkocht**. DeepDelver deelde gelekte gegevens en interne communicatie waarin Delve geautomatiseerde rapporten voor twijfelachtige certificeringsfabrieken suggereerde, terwijl de noodzakelijke due diligence werd overgeslagen.
De beschuldigingen escaleerden verder toen er malware werd ontdekt in een open-sourceproject dat werd gebruikt door een Delve-klant, LiteLLM. Hoewel het exacte verband onduidelijk blijft, draagt dit incident bij aan de groeiende aandacht voor de beveiliging en operationele integriteit van Delve.
Reactie van Delve: aanvallen of klokkenluiden?
Delve-managers Karun Kaushik en Selin Kocalar hebben de beweringen heftig ontkend en noemden ze een gecoördineerde lastercampagne, georkestreerd door een kwaadwillende actor. Ze beweren dat een aanvaller onder valse voorwendselen toegang heeft gekocht, gegevens heeft geëxfiltreerd en deze heeft gebruikt om de reputatie van Delve te beschadigen.
Het bedrijf beweert dat het een cyberbeveiligingsbedrijf heeft ingehuurd om onderzoek te doen, waarbij het wijst op bewijs van gegevensdiefstal en DeepDelver beschuldigt van verzinsel en selectieve bewijspresentatie. Ze verdedigen ook hun gebruik van open-sourcetools, met het argument dat ze aan de licentievoorwaarden hebben voldaan en de software aanzienlijk hebben verbeterd voor compliancedoeleinden.
Schadebeheersingsmaatregelen
Om de gevolgen te verzachten, kondigde Delve verschillende corrigerende maatregelen aan:
- Het verwijderen van accountantskantoren die niet aan hun normen voldoen.
- Het aanbieden van gratis heraudits en penetratietests aan bestaande klanten.
- Verduidelijken dat hun sjablonen bedoeld zijn als startpunt en niet als definitieve compliance-oplossing.
CEO Kaushik erkende dat het bedrijf te snel groeide en niet aan zijn eigen normen voldeed, en bood zijn excuses aan aan de getroffen klanten.
“We groeiden te snel en voldeden niet aan onze eigen norm. Onze klanten bieden wij onze oprechte excuses aan voor de ongemakken die dit heeft veroorzaakt.” – Karun Kaushik
Wat dit betekent
De situatie van Delve benadrukt de risico’s die inherent zijn aan snelgroeiende startups die prioriteit geven aan schaal boven verificatie. De beschuldigingen, waar of onwaar, hebben het vertrouwen van beleggers geschaad en roepen vragen op over de nauwkeurigheid van de naleving in de technologiesector. Het vertrek uit Y Combinator is een duidelijk signaal dat zelfs zeer selectieve accelerators de banden zullen verbreken met bedrijven die met ernstige integriteitsproblemen worden geconfronteerd.
Het incident onderstreept het belang van transparantie, gegevensbeveiliging en gedegen due diligence voor zowel startups als hun klanten. Zonder deze kunnen zelfs veelbelovende ondernemingen onder toezicht snel uiteenvallen.
