Šią savaitę paskelbtame anoniminiame „Substack“ įraše kaltinama atitikties startuolis „Delve“ „klaidingai“ įtikinęs „šimtus klientų, kad jie laikėsi“ privatumo ir saugumo taisyklių, todėl šiems klientams gali būti taikoma „baudžiamoji atsakomybė pagal HIPAA ir didelės baudos pagal GDPR“.
„Delve“ yra „Y Combinator“ remiamas startuolis, kuris praėjusiais metais paskelbė surinkęs 32 mln. USD A seriją už 300 mln. (Raundui vadovavo „Insight Partners“.) Penktadienį startuolis bandė paneigti kaltinimus savo tinklaraštyje, pavadinęs Substack įrašą „klaidinančiu“ ir sakydamas, kad jame „yra daugybė netikslių teiginių“.
Substack įrašas priskiriamas „DeepDelver“, kuris apibūdino save kaip dirbantį (dabar buvusiame) „Delve“ kliente. Atsakydamas į el. paštu išsiųstus „TechCrunch“ klausimus, „DeepDelver“ teigė, kad jie ir jų bendradarbiai „nusprendė likti anonimiški, bijodami dėl Delve keršto“.
Savo pranešime „DeepDelver“ pasakojo, kad gruodžio mėnesį gavo el. laišką, kuriame teigiama, kad startuolis „nutekino skaičiuoklę su konfidencialiomis klientų ataskaitomis“. Nors „Delve“ generalinis direktorius Karunas Kaushikas vėlesniame el. laiške klientus patikino, kad jie laikosi reikalavimų ir jokia išorinė šalis neturi prieigos prie jautrių duomenų, „DeepDelver“ teigė, kad jiems ir kitiems klientams kilo įtarimų.
„Turėdami bendrą patirtį, kai buvome priblokšti „Delve“ patirties, ir apskritai jautėme, kad vyksta kažkas blogo, nusprendėme sutelkti išteklius ir kartu ištirti“, – rašė jie.
Jų išvada? „Delve“ „pasiekia savo teiginį, kad yra greičiausia platforma, pateikdama netikrus įrodymus, rengdama auditoriaus išvadas sertifikavimo gamyklų, kurios tvirtina ataskaitas, vardu ir praleisdama pagrindinius sistemos reikalavimus, pranešdama klientams, kad atitiko 100 proc.
„DeepDelver“ išsamiai ištyrė tuos teiginius, kaltindamas startuolį klientams pateikus „išgalvotus valdybos posėdžių, testų ir procesų įrodymus, kurie niekada neįvyko“, tada versdami tuos klientus „pasirinkti suklastotus įrodymus arba atlikti daugiausia rankinį darbą su mažai tikros automatikos ar dirbtinio intelekto“.
Techcrunch renginys
San Franciskas, Kalifornija
|
2026 m. spalio 13-15 d
„DeepDelver“ taip pat tvirtino, kad atrodo, kad beveik visi „Delve“ klientai lankėsi dviejose audito įmonėse – „Accorp“ ir „Gradient“, kurias jie apibūdino kaip „tos pačios operacijos dalį“, kuri daugiausia veikia Indijoje, o Jungtinėse Valstijose yra tik nominali veikla.
Tos įmonės, jų teigimu, yra tik „Delve“ sugeneruotos gumos antspaudavimo ataskaitos. Dėl to „DeepDelver“ teigė, kad startuolis „apverčia“ įprastą atitikties struktūrą: „Sukurdama auditorių išvadas, bandymų procedūras ir galutines ataskaitas prieš bet kokią nepriklausomą peržiūrą, „Delve“ prisiima ir įgyvendintojo, ir tikrintojo vaidmenį. Tai nėra techninis dalykas. Tai struktūrinis sukčiavimas, dėl kurio visas atestavimas tampa negaliojantis.
Be kaltinimų „Delve“ dėl klientų klaidinimo, „DeepDelver“ teigė, kad startuolis padeda tiems klientams „klaidinti visuomenę, priglobdamas pasitikėjimo puslapius, kuriuose yra saugos priemonių, kurios niekada nebuvo įgyvendintos“.
„DeepDelver“ teigė, kad kol jų įmonė aptarė savo problemas su „Delve“, startuolis „atsiuntė mums kelias dėžutes spurgų (…), kad būtume laimingi“. Nepaisant to, „DeepDelver“ darbdavys tariamai nepaskelbė savo pasitikėjimo puslapio ir nebepasikliauja paleidimu, kad atitiktų reikalavimus.
„Delve“ į kaltinimus atsakė sakydama, kad iš viso neteikia atitikties ataskaitų. Vietoj to, tai yra „automatizavimo platforma“, kuri gauna informaciją apie atitiktį ir suteikia auditoriams prieigą prie šios informacijos.
„Galutines ataskaitas ir nuomones rengia tik nepriklausomi, licencijuoti auditoriai, o ne „Delve“, – teigė bendrovė.
„Delve“ taip pat teigė, kad jos klientai „gali pasirinkti dirbti su pasirinktu auditoriumi arba dirbti su vienu iš „Delve“ nepriklausomų, akredituotų trečiųjų šalių audito įmonių tinklo. Pasak startuolio, tie auditoriai yra „įsisteigusios įmonės, plačiai naudojamos visoje pramonėje, įskaitant kitas atitikties platformas“.
Reaguodama į kaltinimą, kad klientams teikia „netikrų įrodymų“, „Delve“ atkirto, kad tiesiog siūlo „šablonus, padedančius komandoms dokumentuoti savo procesus pagal atitikties reikalavimus, kaip ir kitos atitikties platformos“.
„Juodraščių šablonai nėra tas pats, kas „iš anksto užpildyti įrodymai“, – teigė bendrovė.
„Delve“ pridūrė, kad „aktyviai tiria bet kokį nutekėjimą“ ir „vis dar peržiūri substack“.
Paklaustas apie „Delve“ atsakymą, „DeepDelver“ sakė „TechCrunch“, kad juos „supainiojo jo tingumas, nerangumas ir įžūlumas“.
„Jie bando atsikratyti atsakomybės neigdami „iš anksto užpildytų įrodymų“, bet vadindami juos „šablonais“, o kaltę perkeldami klientams, kad jie priėmė „šablonus“ tokius, kokie yra“, – teigė „DeepDelver“. „Jie tvirtina, kad jie nėra tie, kurie „išduoda“ ataskaitą, o tai lengva pareikšti, jei ataskaitos išdavimą apibrėžiate kaip galutinio antspaudo suteikimą.
Jie pridūrė, kad yra „daug labai rimtų kaltinimų“, į kuriuos „Delve“ visiškai neatsižvelgė: „Indijos kaltinimas, AI trūkumas (jie kalba tik apie „automatizaciją“) ir pasitikėjimo (lol) puslapis, kuriame yra valdymo priemonių, kurios niekada nebuvo įgyvendintos.
Matyt, „DeepDelver“ nesibaigia su savo kritika, kaip žadėjo: „Netrukus pasirodys II dalis“.
Be to, po pradinio „Substack“ įrašo X vartotojas, vardu Jamesas Zhou, pasakė, kad galėjo gauti prieigą prie slaptos informacijos iš „Delve“, pvz., darbuotojų biografijos patikrinimų ir nuosavybės teisių suteikimo tvarkaraščių. „Dvuln“ įkūrėjas Jamiesonas O’Reilly pasidalijo daugiau informacijos apie tai, ką O’Reilly sakė pokalbyje su Zhou apie „kelias saugumo skyles, esančias Delve išoriniame atakos paviršiuje“.
„TechCrunch“ išsiuntė el. laišką, prašydama papildomo komentaro žiniasklaidos kontaktiniu adresu, nurodytu „Delve“ svetainėje. El. laiškas atšoko, bet po šio straipsnio paskelbimo gavau kalendoriaus kvietimą atlikti „Delve demonstracinę versiją“ vėliau šią savaitę.
Šis įrašas iš pradžių buvo paskelbtas 2026 m. kovo 21 d. Jis buvo atnaujintas el. paštu išsiųstais atsakymais iš „DeepDelver“, papildomos informacijos apie tariamus saugos spragas, kurias pateikė Jamieson O’Reilly, ir papildomos informacijos apie „Delve“ atsaką į „TechCrunch“.
