The controversy seputar Delve tampaknya telah membuat startup compliance ini kehilangan hubungan dengan akselerator Y Combinator (YC).
Delve kini tidak lagi terdaftar di direktori portofolio YC, dan halaman Delve sepertinya sudah dihapus dari situs web YC. Selain itu, COO Delve, Selin Kocalar, juga memposting di X bahwa “YC dan Delve telah berpisah.”
Kocalar mengungkapkan, “Saya masih ingat hari ketika kami melakukan wawancara YC di MIT. Kami sangat bersyukur kepada komunitas dan setiap teman pendiri yang kami temui.”
YC bukan investor pertama yang menjauh dari Delve. Insight Partners juga tampaknya telah menghapus posting tentang investasinya di perusahaan ini, meskipun posting blog utama mereka kemudian dipulihkan.
Sementara itu, Delve terus menangkis klaim anonim yang menyatakan bahwa mereka telah menipu klien dengan memberi tahu bahwa mereka patuh pada regulasi privasi dan keamanan, sementara diduga melewatkan persyaratan penting dan membuat laporan otomatis untuk “pabrik sertifikasi yang hanya memberikan cap.”
Klaim tersebut pertama kali dipublikasikan dalam sebuah posting anonim di Substack yang ditulis oleh “DeepDelver,” yang mengaku sebagai mantan pelanggan Delve yang mulai curiga setelah menerima data bocor tentang klien startup tersebut.
DeepDelver kemudian menerbitkan beberapa posting yang membagikan apa yang mereka klaim sebagai konten Slack dan video dari perusahaan, serta menuduh Delve memproyeksikan alat open-source sebagai milik mereka sendiri, tanpa memberikan kredit atau mencapai kesepakatan dengan pengembang. Seorang peneliti keamanan juga mengungkapkan bahwa ia mampu mengakses data sensitif Delve.
Sementara itu, Delve terjebak dalam kontroversi lain ketika malware ditemukan dalam proyek open-source yang dikembangkan oleh pelanggan Delve, LiteLLM.
Dalam posting blog terbarunya, COO Kocalar dan CEO Karun Kaushik menyatakan niat mereka untuk “meluruskan catatan tentang serangan anonim.” Di antara hal lainnya, mereka mengklaim bahwa perusahaan telah menyewa firma cybersecurity “untuk membantu kami memahami apa yang terjadi,” dan menyatakan bahwa “bukti mengarah pada serangan jahat ketimbang seorang pembocor yang tulus.”
“Sepertinya, seorang penyerang membeli Delve dengan niat buruk, secara jahat mengekstraksi data, termasuk data internal perusahaan Delve, dan menggunakannya untuk melancarkan kampanye hitam terkoordinasi terhadap kami,” tulis mereka. Posting blog tersebut juga mencakup cuplikan layar yang mereka klaim “menunjukkan penyerang yang mengekstraksi spreadsheet pelacakan audit kami melalui file.io.”
Di luar tuduhan ini, Delve juga menggambarkan kritik dari DeepDelver sebagai “campuran klaim yang dibuat-buat, screenshot yang dipilih, dan data yang diambil di luar konteks.” Misalnya, mereka mengatakan DeepDelver “menyatakan meremehkan AI kami sambil mengakui bahwa itu mengotomatisasi 70% dari kuesioner keamanan.”
Tentang penggunaan alat open-source, Delve menjelaskan bahwa mereka “berdasarkan repositori open-source Apache 2.0, yang secara eksplisit mengizinkan penggunaan komersial, dan telah dibangun ulang secara signifikan untuk kebutuhan kepatuhan.”
Meski begitu, para eksekutif juga mengungkapkan bahwa mereka telah mengambil langkah untuk memastikan pelanggan “merasa yakin dengan platform kami dan hasil kepatuhan.”
Langkah-langkah itu mencakup membersihkan jaringan perusahaan dari firma audit “yang tidak memenuhi standar kami,” serta “menawarkan re-audit gratis dan tes penetrasi kepada semua pelanggan aktif,” dan menjelaskan secara “tidak ambigu” bahwa template Delve untuk hal-hal seperti notulen rapat dewan “dirancang sebagai titik awal saja.”
Di satu posting di X, Kaushik mengulangi banyak poin yang sama tetapi juga mengatakan, “[K]ami tumbuh terlalu cepat dan tidak memenuhi standar kami sendiri. Kami sangat meminta maaf kepada pelanggan atas ketidaknyamanan yang ditimbulkan.”
TechCrunch sudah menghubungi Y Combinator dan DeepDelver untuk merespons komentar Delve.
