Ενα ανώνυμη ανάρτηση υποστοίβας που δημοσιεύτηκε αυτή την εβδομάδα κατηγορεί την εκκίνηση συμμόρφωσης Σκάβω να πείσει “ψευδώς” “εκατοντάδες πελάτες ότι συμμορφώνονταν” με τους κανονισμούς απορρήτου και ασφάλειας, εκθέτοντας τους πελάτες αυτούς σε “ποινική ευθύνη σύμφωνα με το HIPAA και βαριά πρόστιμα βάσει του GDPR”.
Η Delve είναι μια startup που υποστηρίζεται από το Y Combinator, η οποία πέρυσι ανακοίνωσε ότι θα συγκεντρώσει μια σειρά $32 εκατομμυρίων σε αποτίμηση 300 εκατομμυρίων $. (Ο γύρος ηγήθηκε από τους Insight Partners.) Την Παρασκευή, η startup προσπάθησε να αντικρούσει τις κατηγορίες στο blog τηςαποκαλώντας την ανάρτηση Substack “παραπλανητική” και λέγοντας ότι “περιέχει έναν αριθμό ανακριβών αξιώσεων”.
Η θέση Substack πιστώνεται στον “DeepDelver”, ο οποίος περιέγραψε ότι εργάζεται σε έναν (τώρα πρώην) πελάτη της Delve. Απαντώντας σε ερωτήσεις μέσω email από το TechCrunch, ο DeepDelver είπε ότι αυτοί και οι συνεργάτες τους «επέλεξαν να παραμείνουν ανώνυμοι από φόβο για αντίποινα από την Delve».
Στην ανάρτησή τους, ο DeepDelver εξιστόρησε ότι έλαβε ένα email τον Δεκέμβριο που ισχυριζόταν ότι η εκκίνηση είχε «διέρρευσε ένα υπολογιστικό φύλλο με εμπιστευτικές αναφορές πελατών». Ενώ ο Διευθύνων Σύμβουλος της Delve Karun Kaushik προφανώς διαβεβαίωσε τους πελάτες σε ένα επόμενο email ότι συμμορφώνονταν και ότι κανένα εξωτερικό μέρος δεν είχε πρόσβαση σε ευαίσθητα δεδομένα, η DeepDelver είπε ότι αυτοί και άλλοι πελάτες είχαν γίνει ύποπτοι.
«Έχοντας την κοινή εμπειρία του να κατακλυζόμαστε από την εμπειρία του Delve και έχοντας τη γενική αίσθηση ότι κάτι τρομερό συνέβαινε, αποφασίσαμε να συγκεντρώσουμε πόρους και να ερευνήσουμε μαζί», έγραψαν.
Το συμπέρασμά τους; Αυτή η Delve «επιτυγχάνει τον ισχυρισμό της ότι είναι η ταχύτερη πλατφόρμα παράγοντας πλαστά στοιχεία, δημιουργώντας συμπεράσματα ελεγκτών για λογαριασμό εργοστασίων πιστοποίησης που αναφέρουν σφραγίδες και παρακάμπτοντας τις βασικές απαιτήσεις πλαισίου, λέγοντας στους πελάτες ότι έχουν επιτύχει 100% συμμόρφωση».
Η DeepDelver μπήκε σε σημαντικές λεπτομέρειες σχετικά με αυτούς τους ισχυρισμούς, κατηγορώντας την startup ότι παρείχε στους πελάτες «κατασκευασμένα στοιχεία συνεδριάσεων του διοικητικού συμβουλίου, δοκιμών και διαδικασιών που δεν συνέβησαν ποτέ», στη συνέχεια αναγκάζοντας αυτούς τους πελάτες να «διαλέξουν μεταξύ της υιοθέτησης πλαστών στοιχείων ή της εκτέλεσης κυρίως χειρωνακτικών εργασιών με ελάχιστο πραγματικό αυτοματισμό ή AI».
Εκδήλωση Techcrunch
Σαν Φρανσίσκο, Καλιφόρνια
|
13-15 Οκτωβρίου 2026
Η DeepDelver ισχυρίστηκε επίσης ότι σχεδόν όλοι οι πελάτες της Delve φαίνεται να έχουν περάσει από δύο ελεγκτικές εταιρείες, την Accorp και την Gradient, τις οποίες περιέγραψαν ως «μέρος της ίδιας επιχείρησης», μιας που δραστηριοποιείται κυρίως στην Ινδία, με μόνο ονομαστική παρουσία στις Ηνωμένες Πολιτείες.
Αυτές οι εταιρείες, είπαν, είναι απλώς εκθέσεις που δημιουργήθηκαν από την Delve. Ως αποτέλεσμα, η DeepDelver είπε ότι η εκκίνηση «αντιστρέφει» την κανονική δομή συμμόρφωσης: «Με τη δημιουργία συμπερασμάτων ελεγκτών, διαδικασιών δοκιμών και τελικών εκθέσεων πριν από οποιαδήποτε ανεξάρτητη αναθεώρηση, η Delve τοποθετείται στο ρόλο τόσο του εφαρμοστή όσο και του εξεταστή. Αυτό δεν είναι τεχνικό στοιχείο. Είναι μια δομική απάτη που ακυρώνει ολόκληρη τη βεβαίωση».
Εκτός από το ότι κατηγορεί την Delve για παραπλάνηση των πελατών της, η DeepDelver είπε ότι η εκκίνηση βοηθά αυτούς τους πελάτες «να παραπλανήσουν το κοινό φιλοξενώντας σελίδες εμπιστοσύνης που περιέχουν μέτρα ασφαλείας που δεν εφαρμόστηκαν ποτέ».
Η DeepDelver είπε ότι ενώ η εταιρεία τους συζητούσε τα ζητήματά της με την Delve, η startup «μας έστειλε πολλά κουτιά ντόνατς […] για να μας κρατήσει ευτυχισμένους». Ωστόσο, ο εργοδότης της DeepDelver υποτίθεται ότι κατάργησε τη δημοσίευση της σελίδας εμπιστοσύνης και δεν βασίζεται πλέον στην εκκίνηση για συμμόρφωση.
Η Delve απάντησε στις κατηγορίες λέγοντας ότι δεν εκδίδει καθόλου αναφορές συμμόρφωσης. Αντίθετα, είναι μια «πλατφόρμα αυτοματισμού» που απορροφά πληροφορίες σχετικά με τη συμμόρφωση και στη συνέχεια παρέχει στους ελεγκτές πρόσβαση σε αυτές τις πληροφορίες.
«Οι τελικές εκθέσεις και γνωμοδοτήσεις εκδίδονται αποκλειστικά από ανεξάρτητους, εξουσιοδοτημένους ελεγκτές, όχι από την Delve», ανέφερε η εταιρεία.
Η Delve είπε επίσης ότι οι πελάτες της «μπορούν να επιλέξουν να συνεργαστούν με έναν ελεγκτή της επιλογής τους ή να επιλέξουν να συνεργαστούν με έναν από το δίκτυο ανεξάρτητων, διαπιστευμένων τρίτων ελεγκτικών εταιρειών της Delve». Αυτοί οι ελεγκτές, είπε η startup, είναι «καθιερωμένες εταιρείες που χρησιμοποιούνται ευρέως σε ολόκληρο τον κλάδο, συμπεριλαμβανομένων άλλων πλατφορμών συμμόρφωσης».
Απαντώντας στην κατηγορία ότι παρέχει στους πελάτες «ψεύτικα στοιχεία», η Delve απάντησε ότι απλώς προσφέρει «πρότυπα για να βοηθήσει τις ομάδες να τεκμηριώσουν τις διαδικασίες τους σύμφωνα με τις απαιτήσεις συμμόρφωσης, όπως και άλλες πλατφόρμες συμμόρφωσης».
«Τα προσχέδια δεν είναι τα ίδια με τα «προσεγμένα αποδεικτικά στοιχεία»», είπε η εταιρεία.
Η Delve πρόσθεσε ότι «διερευνά ενεργά τυχόν διαρροές» και «εξακολουθεί να εξετάζει το Substack».
Όταν ρωτήθηκε για την απάντηση της Delve, ο DeepDelver είπε στο TechCrunch ότι «ήταν μπερδεμένοι από την τεμπελιά, την αδεξιότητα και την αυθάδειά του».
«Προσπαθούν να ξεφύγουν [of] θεωρούνται υπεύθυνοι αρνούμενοι ότι έχουν «προσυμπληρωμένα αποδεικτικά στοιχεία», αλλά τα αποκαλούν «πρότυπα», μεταφέροντας ουσιαστικά την ευθύνη στους πελάτες για την υιοθέτηση των «προτύπων» ως έχουν», είπε ο DeepDelver.
Πρόσθεσαν ότι υπάρχουν «ορισμένοι πολύ σοβαροί ισχυρισμοί» τους οποίους η Delve δεν εξέτασε καθόλου: «Η κατηγορία της Ινδίας, η έλλειψη AI (μιλούν μόνο για «αυτοματισμούς») και η σελίδα εμπιστοσύνης (lol) που περιέχει στοιχεία ελέγχου που δεν εφαρμόστηκαν ποτέ».
Προφανώς η DeepDelver δεν έχει τελειώσει με την κριτική της, όπως υποσχέθηκε, “Το Μέρος II θα ακολουθήσει σύντομα”.
Επιπλέον, μετά την αρχική δημοσίευση του Substack, ένας χρήστης X ονόματι James Zhou είπε μπόρεσαν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες από την Delve, όπως ελέγχους ιστορικού εργαζομένων και χρονοδιαγράμματα κατοχύρωσης μετοχών. Ο ιδρυτής της Dvuln, Jamieson O’Reilly μοιράστηκε περισσότερες λεπτομέρειες από αυτό που είπε ο O’Reilly ήταν μια συνομιλία με τον Zhou σχετικά με «αρκετές κενά κενά ασφαλείας στην εξωτερική επιφάνεια επίθεσης του Delve».
Η TechCrunch έστειλε ένα email ζητώντας επιπλέον σχόλια στη διεύθυνση επικοινωνίας μέσων που αναφέρεται στον ιστότοπο της Delve. Το μήνυμα ηλεκτρονικού ταχυδρομείου αναπήδησε, αλλά μετά τη δημοσίευση αυτού του άρθρου, έλαβα μια πρόσκληση ημερολογίου για ένα “Demo Delve” αργότερα αυτήν την εβδομάδα.
Αυτή η ανάρτηση δημοσιεύθηκε αρχικά στις 21 Μαρτίου 2026. Έχει ενημερωθεί με απαντήσεις μέσω ηλεκτρονικού ταχυδρομείου από το DeepDelver, πρόσθετες πληροφορίες σχετικά με υποτιθέμενες ευπάθειες ασφαλείας που παρέχονται από τον Jamieson O’Reilly και πρόσθετες λεπτομέρειες σχετικά με την απάντηση της Delve στο TechCrunch.
Via: techcrunch.com
