出典:TechCrunch
詳細を読む
Y Combinator出身で評価額3億ドルのコンプライアンススタートアップDelveが、数百の顧客に対し虚偽のコンプライアンス証明を提供していたとする匿名の告発がSubstackに投稿されました。告発者は元顧客企業の関係者を名乗っています。
告発によると、Delveは実施されていない取締役会議事録やテスト記録を捏造し、顧客にそれを受け入れるか手動作業を行うかの二択を迫っていたとされます。これにより顧客はHIPAAの刑事責任やGDPRの高額罰金にさらされる可能性があると指摘されています。
さらに告発者は、Delveの顧客のほぼ全員がAccorpとGradientという2つの監査法人を利用しており、両社はインドを拠点とする同一組織の一部だと主張しています。Delveが監査結論を事前に生成し、監査法人が形式的に承認する構造は「構造的詐欺」だと断じました。
これに対しDelveは、自社は自動化プラットフォームであり報告書の発行は独立監査法人が行っていると反論しました。顧客に提供しているのはテンプレートであり、事前記入された証拠ではないと説明しています。告発者はこの反論を「責任転嫁」と批判しました。
告発後、外部のセキュリティ研究者が従業員の身元調査情報や株式権利確定スケジュールなどの機密データにアクセスできたと報告しており、Delveの外部攻撃対象領域に複数の重大なセキュリティホールが存在することも明らかになっています。告発者は「第2弾」の公開を予告しています。