Image Credits: Delve
История оказавшегося под огнем compliance-стартапа Delve продолжает обрастать новыми поворотами.
TechCrunch подтвердил, что Delve был компанией, проводившей сертификации по безопасности для Context AI — стартапа по обучению AI-агентов, который на прошлой неделе сообщил об инциденте безопасности, приведшем к утечке данных у крупного сервиса хостинга приложений и сайтов Vercel.
При этом Lovable, у которой тоже был собственный инцидент безопасности, больше не является клиентом Delve.
Напомним: в прошлом месяце Delve оказался под ударом после того, как анонимный информатор обвинил стартап в подделке данных клиентов и использовании формальных, фактически «одобрительных» аудиторов в процессах compliance и сертификации. Delve отверг эти обвинения.
Вскоре после этого хакеры атаковали одного из клиентов Delve по сертификации безопасности, LiteLLM, и внедрили вредоносный код в его open source-код. После инцидента LiteLLM сообщил TechCrunch, что отказывается от Delve и проходит повторную сертификацию.
Delve также обвинили в том, что он взял open source-инструмент и выдал его за собственную разработку без корректного указания лицензии. Репутация стартапа заметно пошатнулась, из-за чего Y Combinator, выпускником которого был Delve, разорвал с ним связи.
Затем, на прошлых выходных, Vercel сообщил, что хакеры взломали его внутренние системы и получили доступ к части данных клиентов. Компания заявила, что злоумышленники проникли внутрь после того, как сотрудник скачал приложение, созданное Context AI, и подключил его к корпоративной учетной записи Vercel, размещенной в Google. Хакеры использовали доступ этого сотрудника к Google-аккаунту, чтобы проникнуть в некоторые внутренние системы Vercel.
Теперь Context AI подтвердил TechCrunch, что действительно использовал Delve, но уже отказался от этого стартапа и находится в процессе повторной сертификации.
«Да, Context ранее был клиентом Delve», — сообщил TechCrunch представитель Context AI. «После публикаций о Delve в марте мы перевели нашу compliance-программу на Vanta и привлекли Insight Assurance, независимую аудиторскую фирму, для проведения новых проверок. В рамках повторной проверки мы начали обновлять наши публичные материалы и поделимся новым attestation, когда он будет готов», — добавил представитель.
Сами по себе сертификации по безопасности не предотвращают инциденты. Их задача — подтвердить, что у компании есть политики и процессы, которые помогают сдерживать атаки и снижают вероятность компрометации данных клиентов.
Вокруг Delve всплывают и еще более странные новости. Анонимный информатор DeepDelver опубликовал еще один пост, в котором утверждает, что Delve отказывал клиентам в возвратах, но при этом отправил свою команду из более чем 20 человек на выездную встречу на Гавайях в период с 15 по 19 апреля.
Информатор передал TechCrunch некоторые убедительные подтверждения, которые косвенно подтверждают предполагаемую поездку на Гавайи, но TechCrunch не смог подтвердить другие утверждения.
После публикации Delve отказался от комментариев.
Материал — перевод статьи с английского.
Оригинал: Another customer of troubled startup Delve suffered a big security incident