Önde gelen uyumluluk başlangıcı Delve, önemli iddialarla karşı karşıya. Anonim bir Substack gönderisi, şirketi sahte uyumluluk vaatleriyle yüzlerce müşteriyi yanıltmakla suçluyor. Bu durum, müşterileri HIPAA kapsamında cezai sorumluluğa ve GDPR uyarınca ağır para cezalarına maruz bırakabilir. Teknoloji dünyasını sarsan bu iddialar, veri güvenliği alanında derin endişelere yol açtı.
Geçtiğimiz yıl 300 milyon dolar değerlemeyle 32 milyon dolarlık A Serisi yatırım turunu tamamlayan Delve, Y Combinator destekli bir girişim. Şirket, ortaya atılan suçlamaları hızla reddetti. Blog yazılarında Substack gönderisinin “yanıltıcı” olduğunu ve “bir dizi yanlış iddia içerdiğini” belirtti. Ancak DeepDelver adını kullanan isimsiz yazar, Delve’in eski bir müşterisi olduğunu söylüyor. Delve’den misilleme korkusuyla kimliklerini gizli tuttuklarını ifade ettiler.
DeepDelver, Aralık ayında şirketin “gizli müşteri raporlarını içeren bir elektronik tablo sızdırdığına” dair bir e-posta aldıklarını anlattı. Delve CEO’su Karun Kaushik, müşterilere uyumlu oldukları ve hassas verilere dışarıdan erişim sağlanmadığı konusunda güvence verdi. Ancak DeepDelver ve diğer müşteriler şüphelenmeye başladı. “Delve deneyiminden bunalmış olmanın ve bir şeylerin yolunda gitmediği genel hissinin ortak deneyimiyle, kaynaklarımızı birleştirmeye ve birlikte araştırmaya karar verdik,” diye yazdılar.
Delve’in Sahte Uyumluluk İddiaları ve Yapısal Hile
DeepDelver’ın araştırması çarpıcı sonuçlar ortaya koydu. İddiaya göre Delve, “en hızlı platform olma iddiasına, sahte kanıtlar üreterek” ulaşıyor. Denetim firmaları adına “damga basan” denetçi sonuçları üretiyor. Ayrıca “büyük çerçeve gereksinimlerini atlıyor.” Müşterilere ise “%100 uyumluluk sağladıklarını” söylüyorlar. Bu, gizlilik düzenlemeleri için ciddi bir ihlal potansiyeli yaratıyor. DeepDelver, yönetim kurulu toplantıları, testler ve hiç gerçekleşmeyen süreçlere dair “sahte kanıtlar” sağlamakla suçladı.
Şirket, müşterileri “sahte kanıtları benimsemek” veya “gerçek otomasyon veya yapay zeka olmadan çoğunlukla manuel çalışma yapmak” arasında seçim yapmaya zorladı. DeepDelver ayrıca Delve’in tüm müşterilerinin Accorp ve Gradient adlı iki denetim firmasından geçtiğini belirtti. Bu firmalar, aynı operasyonun parçası olarak tanımlandı. Büyük ölçüde Hindistan’da faaliyet gösteren bu yapıların ABD’de sadece nominal bir varlığı var.
DeepDelver’a göre, bu firmalar Delve tarafından üretilen raporlara sadece “damga basıyor.” Bu, Delve’in normal uyumluluk yapısını “tersine çevirdiği” anlamına geliyor. “Herhangi bir bağımsız inceleme yapılmadan denetçi sonuçları, test prosedürleri ve nihai raporları üreterek Delve, kendini hem uygulayıcı hem de denetleyici rolüne sokuyor.” Bu durum, “tüm tasdiki geçersiz kılan yapısal bir hile” olarak nitelendiriliyor.
DeepDelver, Delve’in müşterilerini yanıltmakla kalmadığını belirtiyor. Aynı zamanda bu müşterilerin “hiçbir zaman uygulanmayan güvenlik önlemlerini içeren güven sayfaları barındırarak halkı yanıltmasına” yardımcı olduğunu iddia etti. Şirketi Delve ile sorunlarını tartıştığında, Delve’in kendilerine “mutlu etmeleri için” birden fazla kutu donut gönderdiğini söyledi. Buna rağmen, DeepDelver’ın işvereni güven sayfasını yayından kaldırdı. Artık uyumluluk için Delve’e güvenmiyor.
Delve’in Yanıtı ve Siber Güvenlik Tartışması
Delve, suçlamalara yanıt olarak uyumluluk raporları yayınlamadığını belirtti. Bunun yerine, “uyumluluk hakkında bilgi alan ve denetçilere bu bilgilere erişim sağlayan bir otomasyon platformu” olduklarını vurguladı. “Nihai raporlar ve görüşler yalnızca bağımsız, lisanslı denetçiler tarafından verilir, Delve tarafından değil,” dedi şirket. Ayrıca müşterilerinin “kendi seçtikleri bir denetçiyle veya Delve’in bağımsız, akredite üçüncü taraf denetim firmaları ağından biriyle çalışmayı seçebileceğini” ekledi. Bu denetçilerin “sektörde yaygın olarak kullanılan köklü firmalar” olduğu belirtildi.
“Sahte kanıtlar” sağladığı suçlamasına karşılık Delve, ekiplerin uyumluluk gereksinimlerine uygun olarak süreçlerini belgelemesine yardımcı olmak için “şablonlar” sunduğunu savundu. “Taslak şablonlar, ‘önceden doldurulmuş kanıt’ ile aynı değildir,” açıklamasını yaptı. Şirket, “herhangi bir sızıntıyı aktif olarak araştırdığını” ve “Substack’i hala incelediğini” ekledi. Avrupa’da veri koruma standartlarının en kapsamlı örneği olan Genel Veri Koruma Tüzüğü (GDPR) gibi düzenlemeler, bu tür platformların şeffaflığını zorunlu kılıyor.
Delve’in yanıtı hakkında yorum istendiğinde DeepDelver, yanıtın “tembelliği, beceriksizliği ve arsızlığı karşısında şaşırdığını” ifade etti. “‘Önceden doldurulmuş kanıt’ vermeyi reddederek ve bunu ‘şablonlar’ olarak adlandırarak hesap vermekten kaçmaya çalışıyorlar,” dedi. Delve’in Hindistan suçlamasını, yapay zeka eksikliğini ve uygulanmayan kontrolleri içeren güven sayfaları gibi “bir dizi çok ciddi iddiaya” hiç değinmediği de belirtildi. DeepDelver eleştirilerinin devam edeceğini, “İkinci bölümün yakında geleceğini” de müjdeledi.
Bu gelişmelerin ardından, James Zhou adlı bir X kullanıcısı Delve’den hassas bilgilere erişebildiğini iddia etti. Bu bilgiler arasında çalışan geçmiş kontrolleri ve hisse senedi hak ediş çizelgeleri yer alıyordu. Dvuln kurucusu Jamieson O’Reilly, Zhou ile yaptığı konuşmadan Delve’in “dış saldırı yüzeyinde birkaç büyük güvenlik açığı” olduğuna dair daha fazla ayrıntı paylaştı. Bu iddialar, Delve’in siber güvenlik konusunda da eleştiri oklarının hedefi olmasına neden oldu. Şirketin medya iletişim e-postasına gönderilen bir yorum talebi yanıtsız kaldı.
Daha fazla güncel Teknoloji haberleri için sitemizi ziyaret edebilirsiniz.
