合规平台 Delve 遭匿名举报:被指伪造审计证据欺骗数百客户
一家获得 Y Combinator 支持、主打“最快合规平台”的初创公司正面临严重指控——匿名举报方称其通过伪造会议记录、测试报告和流程文件,帮助客户虚假通过合规认证,可能使这些客户面临 HIPAA 刑事责任和 GDPR 高额罚款风险。
事件起因
今年早些时候,一位自称“DeepDelver”的匿名举报者在 Substack 发布长文,详述其作为 Delve 前客户发现的问题经过。
DeepDelver 回忆,2024 年 12 月收到一封邮件,称 Delve“泄露了一份包含客户机密报告的电子表格”。尽管 Delve CEO Karun Kaushik 在后续邮件中向客户保证系统运行合规、没有外部第三方访问到敏感数据,但 DeepDelver 表示,他和许多其他客户一样,已对此产生怀疑。
“我们共同经历了对 Delve 产品失望的体验,总感觉哪里不对劲,于是决定联合资源展开调查。”
核心指控
DeepDelver 在文章中列举了多项针对 Delve 的具体指控: 伪造合规证据:Delve 被指为客户提供“从未发生的董事会会议记录、测试记录和流程文件”等伪造证据,然后迫使客户在“接受虚假证据”和“大量手动操作但缺乏真正自动化或 AI 支持”之间二选一。
审计机构“走过场”:几乎所有 Delve 客户都通过两家审计公司——Accorp 和 Gradient 完成认证。DeepDelver 声称这两家公司实为同一运营实体,主要在印度开展业务,仅在美国有形式上的存在,其作用不过是“盖章” Delve 预先生成好的报告。
合规架构倒置:DeepDelver 指出,Delve 在独立审核&查验发生之前就已生成了审计结论、测试程序和最终报告,实际上同时扮演了“实施者”和“审核&查验者”的角色:
“这不是技术层面的钻空子,而是结构性欺诈,使整个认证失效。”
信任页面造假:除了误导客户,Delve 还被指帮助客户欺骗公众——在托管的信任页面上展示从未真正实施的安全措施。
Delve 回应
面对上述指控,Delve 于周五在官方博客发布回应,称之为“误导性文章”,包含“多处不准确声明”。
Delve 坚称自己并非合规报告签发机构,而是一个“自动化平台”,负责收集合规相关信息并为审计人员提供访问渠道:
“最终报告和意见仅由独立、持牌的审计人员出具,Delve 不参与其中。”
Delve 还表示,客户可自行选择审计机构,或使用其网络中“行业内广泛使用的、已认证的独立第三方审计公司”。
针对“伪造证据”的指控,Delve 反驳称其提供的只是“帮助团队按照合规要求记录流程的模板”,并强调:
“草案模板与'预填证据'是两回事。”
此外,Delve 表示正在“积极调查泄露事件”,并“仍在审核&查验该 Substack 文章”。
截至发稿,TechCrunch 向 Delve 官方媒体邮箱发送的置评请求被退回,尚未获得进一步回应。
背景信息
Delve 是一家总部位于硅谷的合规科技初创公司,曾入选 Y Combinator 加速器项目。2024 年宣布完成 3200 万美元 A 轮融资,由 Insight Partners 领投,估值达 3 亿美元。
评论