Một bài đăng Substack ẩn danh được xuất bản trong tuần này cáo buộc công ty khởi nghiệp tuân thủ Delve đã thuyết phục “giả dối” “hàng trăm khách hàng rằng họ tuân thủ” các quy định về quyền riêng tư và bảo mật, có khả năng khiến những khách hàng đó phải chịu “trách nhiệm hình sự theo HIPAA và các khoản phạt nặng theo GDPR”.
Delve là một công ty khởi nghiệp được Y Combinator hỗ trợ, năm ngoái đã công bố huy động được Series A trị giá 32 triệu USD với mức định giá 300 triệu USD. (Vòng do Insight Partners dẫn đầu.) Vào thứ Sáu, công ty khởi nghiệp đã cố gắng bác bỏ các cáo buộc trên blog của mình, gọi bài đăng Substack là “gây hiểu lầm” và nói rằng nó “chứa một số tuyên bố không chính xác”.
Bài đăng Substack được ghi nhận là “DeepDelver”, người tự mô tả mình đang làm việc tại một khách hàng Delve (hiện tại).
DeepDelver kể lại việc nhận được một email vào tháng 12 tuyên bố rằng công ty khởi nghiệp này đã “làm rò rỉ một bảng tính chứa các báo cáo bí mật của khách hàng”. Trong khi Giám đốc điều hành Delve Karun Kaushik rõ ràng đã đảm bảo với khách hàng trong email tiếp theo rằng họ tuân thủ và không bên ngoài nào có được quyền truy cập vào dữ liệu nhạy cảm, DeepDelver cho biết họ và các khách hàng khác đã trở nên nghi ngờ.
Họ viết: “Có chung trải nghiệm là không ấn tượng với trải nghiệm Delve và có cảm giác tổng thể rằng có điều gì đó đáng ngờ đang diễn ra, chúng tôi quyết định tập hợp các nguồn lực và cùng nhau điều tra”.
Kết luận của họ? Delve “đạt được tuyên bố là nền tảng nhanh nhất bằng cách tạo ra bằng chứng giả mạo, đưa ra kết luận của kiểm toán viên thay mặt cho các nhà máy chứng nhận báo cáo tem cao su và bỏ qua các yêu cầu khung chính trong khi nói với khách hàng rằng họ đã đạt được sự tuân thủ 100%”.
DeepDelver đã đi sâu vào chi tiết đáng kể về những tuyên bố đó, cáo buộc công ty khởi nghiệp cung cấp cho khách hàng “bằng chứng bịa đặt về các cuộc họp hội đồng, các bài kiểm tra và quy trình chưa từng xảy ra”, sau đó buộc những khách hàng đó “chọn giữa việc áp dụng bằng chứng giả hoặc thực hiện hầu hết các công việc thủ công với ít tự động hóa hoặc AI thực sự”.
sự kiện Techcrunch
San Francisco, CA
|
Ngày 13-15 tháng 10 năm 2026
DeepDelver cũng tuyên bố rằng hầu như tất cả khách hàng của Delve dường như đều đã thông qua hai công ty kiểm toán, Accor và Gradien, mà họ mô tả là “một phần của cùng một hoạt động”, một công ty hoạt động chủ yếu ở Ấn Độ, chỉ có sự hiện diện trên danh nghĩa ở Hoa Kỳ.
Họ nói rằng những công ty đó chỉ là những báo cáo rập khuôn do Delve tạo ra. Do đó, DeepDelver cho biết công ty khởi nghiệp này đã “đảo ngược” cấu trúc tuân thủ thông thường: “Bằng cách đưa ra kết luận của kiểm toán viên, quy trình kiểm tra và báo cáo cuối cùng trước khi bất kỳ đánh giá độc lập nào diễn ra, Delve tự đặt mình vào vai trò của cả người thực hiện và người kiểm tra. Đây không phải là vấn đề kỹ thuật. Đó là một gian lận mang tính cấu trúc làm mất hiệu lực toàn bộ chứng thực.”
Ngoài việc cáo buộc Delve đánh lừa khách hàng của mình, DeepDelver cho biết công ty khởi nghiệp này đang giúp những khách hàng đó “đánh lừa công chúng bằng cách lưu trữ các trang tin cậy chứa các biện pháp bảo mật chưa từng được triển khai”.
DeepDelver cho biết trong khi công ty của họ đang thảo luận các vấn đề của mình với Delve, công ty khởi nghiệp “đã gửi cho chúng tôi nhiều hộp bánh rán để giúp chúng tôi vui vẻ”. Tuy nhiên, chủ nhân của DeepDelver được cho là đã chưa xuất bản trang tin cậy của mình và không còn dựa vào việc tuân thủ của công ty khởi nghiệp nữa.
Delve đáp lại những lời cáo buộc bằng cách nói rằng họ không đưa ra báo cáo tuân thủ nào cả. Thay vào đó, đó là một “nền tảng tự động hóa” thu thập thông tin về việc tuân thủ, sau đó cung cấp cho kiểm toán viên quyền truy cập vào thông tin đó.
Công ty cho biết: “Các báo cáo và ý kiến cuối cùng chỉ được đưa ra bởi các kiểm toán viên độc lập, được cấp phép chứ không phải Delve”.
Delve cũng cho biết khách hàng của mình “có thể chọn làm việc với kiểm toán viên mà họ lựa chọn hoặc chọn làm việc với một kiểm toán viên từ mạng lưới các công ty kiểm toán bên thứ ba độc lập, được công nhận của Delve”. Công ty khởi nghiệp cho biết, những kiểm toán viên đó là “các công ty có uy tín được sử dụng rộng rãi trong toàn ngành, bao gồm cả các nền tảng tuân thủ khác”.
Để đáp lại cáo buộc rằng họ đang cung cấp cho khách hàng “bằng chứng giả mạo”, Delve phản bác rằng họ chỉ đơn giản cung cấp “các mẫu để giúp các nhóm ghi lại quy trình của họ theo các yêu cầu tuân thủ, cũng như các nền tảng tuân thủ khác”.
Công ty cho biết: “Các mẫu dự thảo không giống như ‘bằng chứng được điền sẵn’.
Delve nói thêm rằng họ đang “tích cực điều tra mọi rò rỉ” và “vẫn đang xem xét Substack”.
Sau bài đăng Substack ban đầu, một người dùng X tên là James Zhou cho biết họ có thể truy cập vào thông tin nhạy cảm từ Delve, chẳng hạn như kiểm tra lý lịch nhân viên và lịch trình trao quyền sở hữu cổ phần. Người sáng lập Dvuln, Jamieson O’Reilly đã chia sẻ thêm chi tiết từ những gì O’Reilly nói là cuộc trò chuyện với Chu về “một số lỗ hổng bảo mật trên bề mặt tấn công bên ngoài của Delve”.
TechCrunch đã gửi email yêu cầu nhận xét bổ sung tới địa chỉ liên hệ truyền thông được liệt kê trên trang web của Delve. Email bị trả lại nhưng sau đó tôi đã nhận được lời mời theo lịch cho “Bản demo Delve” vào cuối tuần này. TechCrunch cũng đã liên hệ với DeepDelver để nhận thêm bình luận.
Bài đăng này đã được cập nhật với thông tin bổ sung về các lỗ hổng bảo mật được cho là do Jamieson O’Reilly cung cấp và các chi tiết bổ sung về phản hồi của Delve với TechCrunch.