合规初创公司Delve被指控虚假合规误导客户

本周发布的一篇匿名Substack文章指控合规初创公司Delve”虚假地”让”数百名客户相信他们符合”隐私和安全法规要求，这可能使这些客户面临”HIPAA法案下的刑事责任和GDPR法规下的巨额罚款”。

Delve是一家获得Y Combinator支持的初创公司，去年宣布以3亿美元的估值完成3200万美元的A轮融资，此轮融资由Insight Partners领投。周五，这家初创公司试图在其博客上反驳这些指控，称Substack文章”具有误导性”，并表示其”包含许多不准确的说法”。

这篇Substack文章署名为”DeepDelver”，自称是Delve前客户的员工。在回应TechCrunch的邮件询问时，DeepDelver表示，他们和合作者”出于担心遭到Delve报复而选择匿名”。

在文章中，DeepDelver回忆起12月收到一封邮件，声称该初创公司”泄露了一份包含机密客户报告的电子表格”。虽然Delve首席执行官Karun Kaushik随后在邮件中向客户保证他们合规且没有外部方获得敏感数据，但DeepDelver表示他们和其他客户开始产生怀疑。

“由于共同经历了对Delve体验的失望，并且普遍感觉有问题，我们决定集中资源共同调查，”他们写道。

他们的结论是什么？Delve”通过制造虚假证据、代表认证机构生成审计师结论、跳过主要框架要求同时告诉客户已实现100%合规，来实现其号称最快平台的说法”。

DeepDelver详细阐述了这些指控，指责该初创公司为客户提供”虚构的董事会会议、测试和从未发生的流程证据”，然后迫使这些客户”在采用虚假证据或执行几乎没有真正自动化或AI的大部分手工工作之间做出选择”。

DeepDelver还声称，Delve的几乎所有客户似乎都通过两家审计公司Accorp和Gradient进行审计，他们将这两家公司描述为”同一运营的一部分”，主要在印度运营，在美国只有名义上的存在。

他们说，这些公司只是在为Delve生成的报告盖橡皮图章。因此，DeepDelver表示该初创公司”颠覆”了正常的合规结构：”通过在任何独立审查发生之前生成审计师结论、测试程序和最终报告，Delve将自己置于实施者和检查者的双重角色。这不是技术问题，这是使整个认证无效的结构性欺诈。”

除了指控Delve误导客户外，DeepDelver还表示该初创公司正在帮助这些客户”通过托管包含从未实施的安全措施的信任页面来误导公众”。

DeepDelver表示，虽然他们的公司正在讨论与Delve的问题，但该初创公司”给我们送了多盒甜甜圈来让我们开心”。尽管如此，DeepDelver的雇主据说取消了其信任页面的发布，不再依赖该初创公司进行合规。

Delve通过声称根本不发布合规报告来回应这些指控。相反，它是一个”自动化平台”，收集合规信息，然后为审计师提供获取该信息的途径。

“最终报告和意见完全由独立的持证审计师发布，而非Delve，”该公司表示。

Delve还表示，其客户”可以选择与他们选择的审计师合作，或选择与Delve独立认证第三方审计公司网络中的审计师合作”。该初创公司表示，这些审计师是”在行业内广泛使用的知名公司，包括其他合规平台”。

针对提供客户”虚假证据”的指控，Delve反驳说它只是提供”模板来帮助团队根据合规要求记录其流程，就像其他合规平台一样”。

“草稿模板与’预填证据’不同，”该公司表示。

Delve补充说，它正在”积极调查任何泄露”，并且”仍在审查Substack文章”。

当被问及Delve的回应时，DeepDelver告诉TechCrunch，他们”对其懒惰、笨拙和厚颜无耻感到困惑”。

“他们试图通过否认有’预填证据’但称其为’模板’来逃避责任，实际上是将责任转移给客户采用’模板’，”DeepDelver说。”他们声称不是他们’发布’报告，如果你将发布报告定义为提供最终印章，这很容易声称。”

他们补充说，Delve根本没有回应”许多非常严重的指控”：”印度指控、缺乏AI（他们只谈论’自动化’），以及信任页面包含从未实施的控制措施。”

显然DeepDelver还没有完成其批评，因为它承诺”第二部分将很快发布”。

此外，在最初的Substack文章发布后，一位名为James Zhou的X用户表示他们能够从Delve获得敏感信息，如员工背景调查和股权归属时间表。Dvuln创始人Jamieson O’Reilly分享了更多来自O’Reilly所说的与Zhou关于”Delve外部攻击面中几个巨大安全漏洞”对话的详细信息。

TechCrunch向Delve网站上列出的媒体联系地址发送了寻求额外评论的邮件。邮件被退回，但在本文发布后，我收到了本周晚些时候”Delve演示”的日历邀请。

Q&A

Q1：Delve公司被指控的主要问题是什么？

A：Delve被指控通过制造虚假证据、生成假的审计师结论、跳过重要合规要求来误导客户，让数百名客户错误地相信他们符合隐私和安全法规，这可能使客户面临HIPAA法案下的刑事责任和GDPR法规下的巨额罚款。

Q2：DeepDelver是谁？为什么要匿名举报？

A：DeepDelver是一位自称为Delve前客户员工的匿名举报者。他们选择匿名是因为担心遭到Delve公司的报复，并与其他有类似经历的客户合作共同调查了这些问题。

Q3：Delve公司如何回应这些指控？

A：Delve否认发布合规报告，声称自己只是一个自动化平台，最终报告完全由独立持证审计师发布。公司还表示提供的是帮助团队记录流程的模板，而非预填证据，并称正在积极调查任何泄露事件。