Startup Delve chia tay Y Combinator giữa làn sóng cáo buộc gian lận tuân thủ

Startup Delve chia tay Y Combinator giữa làn sóng cáo buộc gian lận tuân thủ

Tranh cãi xung quanh startup Delve dường như đã khiến công ty này mất đi mối quan hệ với quỹ đầu tư mạo hiểm (VC) hàng đầu Y Combinator (YC). Hiện tại, Delve đã không còn xuất hiện trong danh mục các công ty đầu tư trên website của YC.

Selin Kocalar, Giám đốc vận hành (COO) của Delve, đã xác nhận thông tin này trên mạng xã hội X (trước đây là Twitter) với tuyên bố: "YC và Delve đã chia tay nhau". Đây là một diễn biến đáng tiếc đối với một startup từng được kỳ vọng, khi Kocalar còn nhớ rõ ngày họ tham gia phỏng vấn tại MIT.

Y Combinator không phải là nhà đầu tư duy nhất rời xa Delve. Insight Partners cũng được cho là đã xóa các bài đăng liên quan đến khoản đầu tư vào công ty này, mặc dù bài viết chính trên blog của họ sau đó đã được khôi phục.

Cáo buộc từ nguồn ẩn danh

Sự bùng nổ của cuộc khủng hoảng bắt nguồn từ các bài đăng trên Substack dưới bút danh "DeepDelver", người tự nhận là một cựu khách hàng của Delve. Nguồn này cáo buộc Delve đã đánh lừa khách hàng về tình trạng tuân thủ các quy định quyền riêng tư và an ninh, trong khi thực tế lại bỏ qua các yêu cầu quan trọng.

DeepDelver tuyên bố Delve tự động tạo báo cáo cho các "đơn vị cấp chứng chỉ hình thức" (certification mills) – những nơi chỉ đóng dấu chứng nhận mà không kiểm tra kỹ lưỡng. Ngoài ra, người này còn công bố các dữ liệu cho là từ nội bộ Slack và video của công ty, buộc tội Delve sử dụng công cụ mã nguồn mở mà không ghi nguồn hoặc xin phép.

Một nhà nghiên cứu bảo mật cũng tuyên bố rằng ông đã có thể truy cập vào dữ liệu nhạy cảm của Delve, làm gia tăng mối lo ngại về lỗ hổng bảo mật.

Phản hồi từ Delve: Tấn công độc hại hay tố giác?

Trong bài đăng mới nhất trên blog, CEO Karun Kaushik và COO Selin Kocalar đã bác bỏ mạnh mẽ các cáo buộc, gọi đây là một "chiến dịch bôi nhọ có phối hợp". Delve cho biết họ đã thuê một công ty an ninh mạng để điều tra và kết luận cho thấy bằng chứng chỉ ra một cuộc tấn công độc hại thay vì một người tố giác (whistleblower) thực thụ.

"Có vẻ như một kẻ tấn công đã mua Delve dưới danh nghĩa giả tạo, đã đánh cắp dữ liệu độc hại, bao gồm dữ liệu nội bộ của công ty, và sử dụng nó để phát động một chiến dịch bôi nhọ chống lại chúng tôi," — đại diện Delve cho biết.

Công ty cũng cung cấp một ảnh chụp màn hình cho thấy kẻ tấn công đang tải xuống bảng tính theo dõi kiểm toán thông qua dịch vụ file.io.

Về vấn đề sử dụng mã nguồn mở, Delve giải thích rằng họ đã xây dựng dựa trên kho lưu trữ mã nguồn mở Apache 2.0, cho phép sử dụng thương mại, và đã xây dựng lại đáng kể cho các trường hợp sử dụng tuân thủ quy định.

Khắc phục sự cố và xin lỗi

Mặc dù bảo vệ công nghệ của mình, Delve thừa nhận đã mắc sai lầm trong quá trình mở rộng. Trong một bài đăng trên X, CEO Kaushik viết: "Chúng tôi đã phát triển quá nhanh và không đạt được tiêu chuẩn của chính mình. Chúng tôi xin lỗi chân thành đến khách hàng vì những bất tiện gây ra."

Để phục vụ niềm tin của khách hàng, Delve đang thực hiện các bước sau:

• Dọn sạch mạng lưới công ty, loại bỏ các đơn vị kiểm toán không đạt chuẩn.
• Cung cấp dịch vụ kiểm toán lại và kiểm thử xâm nhập (penetration test) miễn phí cho tất cả khách hàng đang hoạt động.
• Làm rõ rằng các mẫu tài liệu của Delve (như biên bản cuộc họp hội đồng quản trị) chỉ được thiết kế làm điểm khởi đầu tham khảo.

Vụ việc cũng liên quan đến LiteLLM, một khách hàng của Delve, khi phần mềm độc hại được phát hiện trong một dự án mã nguồn mở do LiteLLM phát triển.

TechCrunch đã liên hệ với Y Combinator và DeepDelver để xin bình luận về những phát biểu mới nhất của Delve nhưng chưa nhận được phản hồi.