Start Compliance Delve został usunięty z portfolio Y Combinator (YC), co sygnalizuje poważną awarię w następstwie zarzutów wprowadzania klientów w błąd i wątpliwych praktyk operacyjnych. Firma nie jest już notowana na stronie internetowej YC, a dyrektor operacyjna Delve Celine Kochalar potwierdziła podział na X (dawniej na Twitterze), stwierdzając: „Sposoby YC i Delve rozeszły się”. Posunięcie to wynika z podobnego dystansu wobec Insight Partners, który tymczasowo usunął odniesienia do swoich inwestycji przed przywróceniem części treści.
Istota konfliktu
W centrum sporu znajdują się zarzuty anonimowego źródła „DeepDelver”, które twierdzi, że Delve błędnie przedstawił swoje możliwości w zakresie zgodności, potencjalnie sprzedając klientom nieskuteczne certyfikaty. DeepDelver udostępnił dane, które wyciekły i wewnętrzną korespondencję wskazującą, że Delve automatyzował raporty dla podejrzanych urzędów certyfikacji, omijając wymagane kontrole due diligence.
Zarzuty nasiliły się, gdy w projekcie open source używanym przez klienta Delve, LiteLLM, wykryto złośliwe oprogramowanie. Chociaż dokładne powiązanie pozostaje niejasne, incydent ten pogłębia krytykę dotyczącą bezpieczeństwa i integralności operacyjnej Delve.
Odpowiedź Delve: atak czy ekspozycja?
Dyrektorzy Delve, Karun Kaushik i Celine Kochalar, stanowczo zaprzeczają zarzutom, nazywając je skoordynowaną kampanią oszczerstw zaaranżowaną przez napastnika. Twierdzą, że atakujący uzyskał dostęp pod fałszywym pretekstem, ukradł dane i wykorzystał je do zniszczenia reputacji Delve.
Firma twierdzi, że do zbadania sprawy zatrudniła firmę zajmującą się cyberbezpieczeństwem, powołując się na dowody kradzieży danych i oskarżając DeepDelver o fałszowanie i selektywne manipulowanie dowodami. Bronią także stosowania narzędzi open source, twierdząc, że spełnili warunki licencji i znacznie ulepszyli oprogramowanie, aby było zgodne z wymogami.
Środki minimalizujące szkody
Aby złagodzić wpływ, Delve ogłosiło kilka działań naprawczych:
- Wyłączenie firm audytorskich niespełniających ich standardów.
- Oferowanie darmowych powtarzalnych audytów i testów penetracyjnych obecnym klientom.
- Wyjaśnij, że ich szablony mają służyć jako punkt wyjścia, a nie ostateczne rozwiązania zapewniające zgodność.
Dyrektor generalny Kaushik przyznał, że firma rozwijała się zbyt szybko, nie spełniając własnych standardów, i przeprosił dotkniętych klientów.
“Rozwijaliśmy się zbyt szybko i nie spełniliśmy naszych własnych standardów. Naszym klientom serdecznie przepraszamy za spowodowane tym niedogodności. ” — Karun Kaushik
Co to oznacza?
Sytuacja Delve uwydatnia ryzyko nieodłącznie związane z szybko rozwijającymi się start-upami, które przedkładają skalę nad weryfikację danych. Zarzuty, niezależnie od ich prawdziwości, podważają zaufanie inwestorów i rodzą pytania dotyczące rygoru przestrzegania przepisów w sektorze technologii. Wykluczenie Y Combinator to wyraźny sygnał, że nawet wysoce selektywne akceleratory zerwą więzi z firmami borykającymi się z poważnymi problemami związanymi z uczciwością.
Ten incydent podkreśla znaczenie przejrzystości, bezpieczeństwa danych i dokładnej analizy due diligence zarówno dla startupów, jak i ich klientów. Bez tego nawet obiecujące przedsiębiorstwa mogą szybko upaść pod kontrolą.
