استارتاپ دل وو (Delve) به دلیل اتهامات مربوط به انطباق تقلبی و ارائه گزارش های امنیتی جعلی به مشتریان با بحران جدی روبرو شده که می تواند کسب وکارها را در معرض خطرات قانونی و امنیتی قرار دهد.
یه پست بدون نام تو ساب استک که همین هفته منتشر شده، استارتاپ حوزه انطباق «دل وو» (Delve) رو متهم کرده که درگیر انطباق تقلبی بوده و «به دروغ» صدها مشتری رو متقاعد کرده که با مقررات حریم خصوصی و امنیتی مطابقت دارن. این موضوع می تونه این مشتری ها رو در معرض «مسئولیت کیفری تحت قانون HIPAA و جریمه های سنگین تحت قانون GDPR» قرار بده.
دل وو یه استارتاپه که تحت حمایت «وای کامبینیتور» (Y Combinator) فعالیت می کنه و سال گذشته اعلام کرد که 32 میلیون دلار تو دور سری A با ارزش گذاری 300 میلیون دلار جذب کرده. (این دور سرمایه گذاری توسط Insight Partners هدایت می شد.) روز جمعه، این استارتاپ تو وبلاگش سعی کرد این اتهامات رو رد کنه و پست ساب استک رو «گمراه کننده» خوند و گفت که این پست «شامل تعدادی ادعای نادرسته».
پست ساب استک به نام «DeepDelver» منتشر شده که خودش رو کارمند یکی از مشتری های (حالا دیگه سابق) دل وو معرفی کرده. DeepDelver در پاسخ به سوالات ایمیلی تک کرانچ (TechCrunch) گفت که اون و همکاراش «به خاطر ترس از تلافی شرکت دل وو، تصمیم گرفتن ناشناس بمونن.»
تو این پست، DeepDelver تعریف کرده که تو ماه دسامبر (آذر/دی) ایمیلی دریافت کرده که ادعا می کرده این استارتاپ «یه فایل اکسل شامل گزارش های محرمانه مشتریان رو لو داده.» موضوعی که نگرانی ها را درباره لو رفتن اطلاعات کاربران در پلتفرم UStrive در پلتفرم های دیجیتال دوچندان کرده است. با اینکه «کارون کوشیک»، مدیرعامل دل وو، ظاهرا تو یه ایمیل بعدی به مشتری ها اطمینان داده بود که همه چیز طبق مقرراته و هیچ شخص خارجی ای به داده های حساس دسترسی پیدا نکرده، اما DeepDelver گفته که خودش و بقیه مشتری ها مشکوک شده بودن.
اون نوشته: «چون همه مون تجربه ناامیدکننده ای با دل وو داشتیم و حس می کردیم یه جای کار می لنگه، تصمیم گرفتیم منابع مون رو روی هم بذاریم و با هم تحقیق کنیم.»
اتهامات اصلی؛ ماهیت انطباق تقلبی دل وو
نتیجه گیری شون چی بود؟ اینکه دل وو «با تولید مدارک جعلی، ساختن نتایج حسابرسی از طرف موسسات صدور گواهینامه ای که فقط گزارش ها رو مُهر می کنن و نادیده گرفتن الزامات اصلی چارچوب ها، به این نوع از انطباق تقلبی می رسد؛ اونم در حالی که به مشتری هاش می گه 100٪ با قوانین مطابقت دارن.»
DeepDelver با جزئیات زیادی به این ادعاها پرداخت و این استارتاپ رو متهم کرد که به مشتری ها «مدارک ساختگی از جلسات هیئت مدیره، تست ها و فرآیندهایی که هرگز اتفاق نیفتادن» ارائه می ده. بعد هم این مشتری ها رو مجبور می کنه «بین قبول کردن مدارک جعلی یا انجام دستیِ اکثر کارها با کمترین اتوماسیون یا هوش مصنوعی واقعی، یکی رو انتخاب کنن.» این موضوع اساسا منجر به یک انطباق تقلبی می شد.
DeepDelver همچنین ادعا کرد که تقریبا همه مشتری های دل وو ظاهرا با دو شرکت حسابرسی به نام های Accorp و Gradient کار کردن که به گفته اون «بخش هایی از یه مجموعه هستن»؛ مجموعه ای که عمدتا تو هند فعالیت می کنه و حضورش تو آمریکا فقط در حد یه نام و نشونه.
به گفته اون، این شرکت ها فقط گزارش هایی رو که خودِ دل وو ساخته، تایید می کنن. در نتیجه، DeepDelver می گه که این استارتاپ ساختار معمول انطباق رو «وارونه» کرده و منجر به یک انطباق تقلبی سیستماتیک شده: «دل وو با تولید نتایج حسابرسی، روش های تست و گزارش های نهایی قبل از هرگونه بررسی مستقل، خودش رو هم تو نقش مجری و هم تو نقش ناظر قرار داده. این فقط یه مشکل فنی نیست؛ یه کلاهبرداری ساختاریه که کل اعتبار گواهی رو از بین می بره.»
علاوه بر اتهام گمراه کردن مشتری ها، DeepDelver گفته که این استارتاپ با میزبانی صفحات اعتماد (Trust Pages) که شامل اقدامات امنیتیِ اجرا نشده هستن، به مشتری ها کمک می کنه تا در زمینه انطباق، «افکار عمومی رو فریب بدن» و در واقع یک انطباق تقلبی رو به نمایش بذارن.
DeepDelver گفت زمانی که شرکت شون داشت درباره مشکلاتش با دل وو صحبت می کرد، این استارتاپ «چندین جعبه دونات برامون فرستاد تا ما رو راضی نگه داره.» با این حال، ظاهرا کارفرمای DeepDelver صفحه اعتماد خودش رو از حالت انتشار خارج کرده و دیگه برای امور انطباق به این استارتاپ تکیه نمی کنه.
دل وو در پاسخ به این اتهامات گفته که اصلا گزارش انطباق صادر نمی کنه. در عوض، اون ها یه «پلتفرم اتوماسیون» هستن که اطلاعات مربوط به انطباق رو جمع آوری می کنه و بعد دسترسی به این اطلاعات رو در اختیار حسابرس ها قرار می ده.
این شرکت اعلام کرد: «گزارش ها و نظرات نهایی منحصرا توسط حسابرس های مستقل و دارای مجوز صادر می شه، نه توسط دل وو.»
دل وو همچنین گفت که مشتری هاش «می تونن با حسابرس منتخب خودشون کار کنن یا یکی از حسابرس های شبکه مستقل و معتبرِ شخص ثالثِ دل وو رو انتخاب کنن.» به گفته این استارتاپ، این حسابرس ها «شرکت های شناخته شده ای هستن که در سطح گسترده تو این صنعت، از جمله توسط سایر پلتفرم های انطباق، استفاده می شن.»
در واکنش به اتهام ارائه «مدارک جعلی» به مشتری ها، دل وو مدعی شد که مثل بقیه پلتفرم های انطباق، فقط داره «قالب هایی (templates) رو ارائه می ده تا به تیم ها کمک کنه فرآیندهاشون رو طبق الزامات انطباق مستندسازی کنن.»
این شرکت گفت: «قالب های پیش نویس با “مدارک از پیش پر شده” یکی نیستن.»
دل وو اضافه کرد که «به طور فعال در حال بررسی هرگونه نشت اطلاعاتیه» و «هنوز در حال بررسی پست ساب استک هست».
وقتی از DeepDelver درباره پاسخ دل وو سوال شد، به تک کرانچ گفت که از «تنبلی، ناشی گری و وقاحتِ» این پاسخ شوکه شده.
تداوم ابهامات در پرونده انطباق تقلبی
DeepDelver گفت: «اون ها سعی دارن با انکارِ داشتن “مدارک از پیش پر شده” و استفاده از کلمه “قالب” به جای اون، از زیر بار مسئولیت در برن و در واقع تقصیر رو گردن مشتری هایی بندازن که این “قالب ها” رو همون طوری که هست قبول کردن، که در نهایت به همان انطباق تقلبی منجر می شود. اون ها ادعا می کنن که صادرکننده گزارش نیستن، که خب اگه صدور گزارش رو فقط زدنِ مُهر نهایی بدونید، ادعای راحتیه.»
اون اضافه کرد که «چندین اتهام بسیار جدی» وجود داره که دل وو اصلا بهشون نپرداخته: «اتهام مربوط به هند، نبود هوش مصنوعی (اون ها فقط از “اتوماسیون” حرف می زنن) و صفحه اعتماد (خنده داره) که شامل کنترل هایی بود که هیچ وقت اجرا نشدن.»
ظاهرا انتقادهای DeepDelver تموم نشده، چون قول داده که «بخش دوم به زودی منتشر می شه.»
علاوه بر این، بعد از اولین پست ساب استک، یکی از کاربرای شبکه اجتماعی ایکس به اسم جیمز ژو گفت که تونسته به اطلاعات حساس دل وو مثل سوابق کارکنان و جداول تخصیص سهام (equity vesting) دسترسی پیدا کنه. جیمیسون اورایلی، موسس Dvuln، جزئیات بیشتری از گفت وگو با ژو درباره «چندین حفره امنیتی بزرگ در سطح حملات خارجی دل وو» به اشتراک گذاشت.
تک کرانچ ایمیلی برای دریافت توضیحات بیشتر به آدرس تماس رسانه ای که تو وب سایت دل وو اومده بود، فرستاد. ایمیل برگشت خورد، اما بعد از انتشار این مقاله، یه دعوت نامه تقویم برای «دموی دل وو» برای اواخر این هفته دریافت کردم.
این پست ابتدا در تاریخ 1 فروردین 1405 منتشر شد. این مطلب با پاسخ های ایمیلی DeepDelver، اطلاعات تکمیلی درباره آسیب پذیری های امنیتی ادعایی که توسط جیمیسون اورایلی ارائه شده و جزئیات بیشتری از پاسخ دل وو به تک کرانچ به روزرسانی شده است.
وقوع چنین جنجال هایی در اکوسیستم استارتاپی نشان می دهد که تکیه بر ابزارهای اتوماسیون بدون نظارت انسانی و حسابرسی های مستقل واقعی می تواند عواقب جبران ناپذیری برای حریم خصوصی کاربران و اعتبار شرکت ها داشته باشد. شفافیت در فرآیندهای انطباق قانونی نباید فدای سرعت رشد یا بازاریابی های فریبنده شود.
Delve accused of misleading customers with ‘fake compliance’
