Крах Delve: Как Стартап По Кибербезопасности Обвиняется В Мошенничестве С Сертификатами

Ключевые выводы

• Анонимный источник обвинил Delve в создании фальшивых аудиторских отчетов и фиктивных сертификатов
• Стартап якобы сотрудничает с индийскими аудиторскими фирмами Accorp и Gradient, которые "закрывают глаза" на нарушения
• Клиенты получают "готовые" доказательства соответствия, которые никогда не существовали в реальности
• Delve отрицает обвинения, называя предоставленные документы "шаблонами" для самостоятельного заполнения
• Скандал ставит под вопрос всю индустрию автоматизированного комплаенса и безопасность данных клиентов

Delve, стартап из Y Combinator, обвиняется в создании фальшивых аудиторских отчетов и обмане сотен клиентов относительно их соответствия стандартам безопасности данных. Анонимный источник утверждает, что компания использует "фабрику сертификатов" с индийскими аудиторами, которые просто ставят галочки на готовых документах.

Что такое Delve и чем она занимается?

Delve - это стартап по автоматизации комплаенса, который помогает компаниям получать сертификаты безопасности данных, такие как SOC 2, ISO 27001 и соответствие HIPAA/GDPR. Компания позиционирует себя как платформа, которая ускоряет процесс аудита с помощью ИИ и автоматизации, сокращая время и затраты на получение сертификатов.

Основанная двумя выпускниками MIT, Delve привлекла $32 млн в рамках Series A на оценку $300 млн. Стартап был частью программы Y Combinator - акселератора, который выпустил такие компании как Airbnb, Dropbox и Reddit. Ключевое обещание Delve - сократить время получения сертификатов с месяцев до недель.

По заявлениям компании, их платформа автоматически собирает доказательства соответствия, генерирует отчеты и координирует работу с аудиторами. Клиенты получают "доверительные страницы" (trust pages), где демонстрируют свою безопасность потенциальным партнерам и клиентам. Для многих компаний эти сертификаты критически важны - без них невозможно заключать контракты с крупными корпорациями или работать в здравоохранении.

Однако именно эти "доверительные страницы" стали эпицентром скандала. Анонимный источник утверждает, что многие из заявленных мер безопасности никогда не внедрялись в реальности, а сертификаты были выданы на основе фальшивых документов.

Как возник скандал?

История началась в декабре прошлого года, когда клиент Delve получил странное письмо - кто-то утверждал, что утечка электронной таблицы с конфиденциальными отчетами клиентов. Это письмо попало к "DeepDelver" - анонимному автору разоблачительного поста на Substack.

После этого инцидента DeepDelver и другие клиенты Delve начали замечать странности. "Мы все были разочарованы опытом работы с Delve и чувствовали, что что-то нечисто", - пишет автор. Подозрения усилились, когда CEO Delve Karun Kaushik заверил клиентов, что утечек не было и данные в безопасности.

Группа бывших клиентов решила объединить усилия и провести собственное расследование. Они изучили сотни документов, общались с другими клиентами и аудиторами. Результаты шокировали их: Delve якобы создает фальшивые доказательства - "фабрику сертификатов", где ничего не аудируется, а просто генерируются готовые отчеты.

Скандал обрел широкую огласку после публикации на Substack, где DeepDelver детально описал все найденные нарушения. Статья быстро распространилась в технологическом сообществе, вызвав панику среди клиентов Delve и вопросов у регуляторов.

Что именно обвиняют Delve?

По версии DeepDelver, Delve использует сложную схему мошенничества, которая работает так:

1. Платформа генерирует "фальшивые доказательства" - документы, которые якобы подтверждают существование процедур, которых никогда не было
2. Эти фейковые документы включают "фабрикованные доказательства совещаний правления, тестов и процессов, которые никогда не происходили"
3. Клиентам предлагается "выбор между принятием фальшивых доказательств или выполнением в основном ручной работы с минимальной автоматизацией"
4. Все документы отправляются в аудиторские компании Accorp и Gradient, которые якобы являются "частью одной операции"
5. Аудиторы просто ставят свои подписи на готовых отчетах, не проводя реальную проверку

Самое серьезное обвинение - Delve якобы "инвертирует" нормальную структуру комплаенса. Вместо того чтобы аудиторы проверяли реальные процессы, компания сама генерирует "заключения аудиторов, процедуры тестирования и финальные отчеты" до того, как происходит независимая проверка.

"Это не техническая деталь. Это структурное мошенничество, которое делает недействительным весь аттестат", - пишет DeepDelver. По его словам, Delve фактически сама выступает в роли и исполнителя, и экзаменатора - что является грубым нарушением принципов аудита.

Кроме того, компания обвиняется в том, что клиенты "вводят публику в заблуждение", размещая "доверительные страницы", содержащие меры безопасности, которые никогда не внедрялись. Это означает, что сотни компаний могли заключать контракты, основываясь на ложной информации о своей безопасности.

Как Delve отвечает на обвинения?

В ответ на скандал Delve опубликовала официальное заявление, в котором назвала Substack-пост "вводящим в заблуждение" и заявила, что он "содержит ряд неточных утверждений". Компания категорически отрицает все обвинения и пытается дистанцироваться от аудиторских фирм.

Основной аргумент Delve: они не выпускают отчеты о комплаенсе. Вместо этого они позиционируют себя как "платформу автоматизации", которая собирает информацию о комплаенсе, а затем предоставляет аудиторам доступ к этой информации. "Финальные отчеты и заключения выдаются исключительно независимыми, лицензированными аудиторами, а не Delve", - заявляет компания.

Delve также подчеркивает, что клиенты могут работать с любым аудитором по своему выбору или выбрать одного из аудиторов из сети Delve. "Это установленные фирмы, широко используемые в отрасли, включая другими платформами комплаенса", - утверждает компания.

Что касается обвинений в "фальшивых доказательствах", Delve отвечает, что предоставляет "шаблоны для помощи командам документировать свои процессы в соответствии с требованиями комплаенса, как и другие платформы комплаенса". "Черновые шаблоны - это не то же самое, что 'заполненные доказательства'", - заявляет компания.

Главный аргумент защиты: если клиенты используют шаблоны "как есть", то вина лежит на них, а не на Delve. Компания активно расследует любые утечки и продолжает изучать Substack-пост.

Что происходит сейчас?

После публикации разоблачения ситуация продолжает накаляться. DeepDelver заявил, что "часть II последует вскоре", обещая новые сенсационные детали. Кроме того, пользователь X под ником James Zhou заявил, что получил доступ к чувствительной информации из Delve, включая проверки сотрудников на предмет судимостей и графики vesting'а акций.

Основатель Dvuln Jamieson O'Reilly поделился дополнительными деталями из разговора с Zhou о "нескольких огромных дырах в атакующей поверхности Delve". Это означает, что компания может иметь не только проблемы с комплаенсом, но и реальные уязвимости в безопасности.

TechCrunch (без упоминания) попытался связаться с Delve для получения комментариев, но письмо на адрес media-контакта вернулось. Интересно, что после публикации статьи автор получил приглашение на календарь для "демонстрации Delve" на этой неделе - возможно, попытка компании напрямую донести свою позицию.

Многие клиенты Delve уже начали паниковать. Некоторые unpublish'нули свои доверительные страницы, другие ищут альтернативные решения. Регуляторы в США и ЕС, вероятно, уже начали внутреннее расследование - особенно учитывая упоминание о потенциальной "уголовной ответственности по HIPAA" и "штрафах по GDPR".

Что это значит для индустрии?

Скандал с Delve может иметь далеко идущие последствия для всей индустрии автоматизированного комплаенса. Если обвинения подтвердятся, это поставит под вопрос безопасность сотен компаний, которые полагались на сертификаты Delve.

Более того, это может спровоцировать ужесточение регулирования в сфере аудита безопасности данных. Регуляторы могут потребовать более строгих проверок, увеличить штрафы за фальсификации и ввести новые стандарты для аудиторских фирм.

Для инвесторов это тоже урок - $32 млн на оценку $300 млн выглядят подозрительно высокими для компании, которая, возможно, строила свой бизнес на обмане. Многие венчурные фонды теперь будут пересматривать подходы к оценке стартапов в сфере безопасности.

Клиенты крупных корпораций могут начать требовать дополнительных проверок у своих поставщиков. "Если даже Y Combinator стартап может подделывать сертификаты, как быть с остальными?" - задаются вопросом эксперты.

Интересно, что скандал совпал с ростом интереса к AI-решениям в сфере безопасности. Возможно, это заставит индустрию задуматься о балансе между автоматизацией и человеческим надзором в критически важных процессах.

Что делать, если вы клиент Delve?

Если ваша компания использует Delve для комплаенса, эксперты рекомендуют немедленно предпринять следующие шаги:

1. Проверьте все полученные от Delve документы на предмет подозрительных расхождений
2. Свяжитесь с вашим аудитором и запросите независимую проверку
3. Если у вас есть доверительная страница, временно спрячьте ее до выяснения ситуации
4. Начните искать альтернативные решения - рынок предлагает десятки платформ комплаенса
5. Проконсультируйтесь с юристами о потенциальных рисках по HIPAA/GDPR

Важно понимать, что даже если Delve окажется невиновной, сам факт обвинений может нанести ущерб вашему бизнесу. Многие партнеры могут потребовать перепроверки сертификатов, а некоторые контракты могут быть расторгнуты.

Эксперты также рекомендуют быть готовыми к тому, что другие платформы комплаенса могут столкнуться с аналогичными проверками. Скандал с Delve может стать катализатором для более тщательного изучения всей индустрии.

Почему это важно для вас?

Даже если вы не используете Delve и не работаете в сфере безопасности данных, этот скандал важен по нескольким причинам:

• Он показывает, как легко можно подделать цифровые сертификаты в эпоху автоматизации
• Он демонстрирует риски, связанные с доверием "доверительным страницам" без независимой проверки
• Он может привести к ужесточению регулирования, которое затронет все бизнесы
• Он показывает, как быстро репутация может быть разрушена в эпоху социальных сетей

Для предпринимателей и стартаперов этот случай - предостережение о том, как важно строить бизнес на реальной ценности, а не на иллюзиях. Для инвесторов - напоминание о необходимости тщательной проверки даже самых горячих стартапов.

А для всех нас - напоминание о том, что в цифровом мире доверие остается самым ценным активом, и его очень легко потерять.

Справка

Delve

Delve - американский стартап по автоматизации комплаенса, основанный в 2022 году двумя выпускниками MIT. Компания специализируется на платформах для автоматического получения сертификатов безопасности данных, таких как SOC 2, ISO 27001, HIPAA и GDPR. В 2025 году привлекла $32 млн в рамках Series A на оценку $300 млн, раунд возглавил Insight Partners. Была частью программы Y Combinator. Штаб-квартира находится в Сан-Франциско. Основатели - Karun Kaushik (CEO) и еще один выпускник MIT. Компания обещала сократить время получения сертификатов с месяцев до недель с помощью ИИ и автоматизации.

Y Combinator

Y Combinator - одна из самых известных и престижных стартап-акселераторов в мире, основанная в 2005 году Полом Грэмом. Расположена в Кремниевой долине. Акселератор предоставляет стартапам $500 000 финансирования, интенсивную трехмесячную программу и доступ к сети экспертов и инвесторов. Выпустила такие компании как Airbnb, Dropbox, Reddit, Stripe, Coinbase и DoorDash. Известна высокими стандартами отбора - принимает только около 1-2% заявок. Компании, прошедшие YC, часто привлекают внимание инвесторов и получают более выгодные условия финансирования.

Insight Partners

Insight Partners - американская венчурная компания, основанная в 1995 году. Штаб-квартира в Нью-Йорке. Специализируется на поздних стадиях финансирования и leveraged buyout'ах. Управляет активами более $90 млрд. Инвестировала в более чем 600 компаний, включая Twitter, Shopify, Roblox, Udemy и Calm. Известна фокусом на SaaS-бизнесах и технологических компаниях. Insight часто ведет раунды Series C и D, а также приобретает контрольные пакеты в зрелых компаниях. Компания имеет офисы в США, Европе и Азии.

GDPR

GDPR (General Data Protection Regulation) - регламент ЕС о защите данных, вступивший в силу в 2018 году. Устанавливает строгие правила обработки персональных данных граждан ЕС. Основные принципы: согласие на обработку данных, право на забвение, уведомление о утечках в течение 72 часов, штрафы до 4% от глобального оборота. Применяется ко всем компаниям, обрабатывающим данные европейцев, независимо от места нахождения. Штрафы могут достигать €20 млн или 4% выручки, что больше. GDPR стал одним из самых строгих законов о защите данных в мире и повлиял на законодательство многих стран.

HIPAA

HIPAA (Health Insurance Portability and Accountability Act) - закон США о защите медицинской информации, принятый в 1996 году. Устанавливает стандарты для обработки PHI (Protected Health Information) - медицинских данных пациентов. Компании, имеющие доступ к PHI, должны обеспечивать конфиденциальность, целостность и доступность данных. Нарушения влекут за собой штрафы от $100 до $50 000 за одно нарушение, до $1.5 млн в год. В тяжелых случаях возможна уголовная ответственность с тюремным заключением до 10 лет. HIPAA обязателен для всех медицинских учреждений, страховых компаний и их бизнес-партнеров.

Скандал с Delve - это не просто история об одном стартапе. Это тревожный сигнал для всей индустрии, который показывает, как легко можно создать иллюзию безопасности в эпоху автоматизации. Главный вопрос, который остается открытым: сколько еще компаний строят свой бизнес на фальшивых сертификатах и как регуляторы отреагируют на этот вызов?