يتهم منشور Substack مجهول نُشر هذا الأسبوع شركة Delve الناشئة للامتثال بإقناع “مئات العملاء” “بشكل كاذب” بأنهم ملتزمون” بلوائح الخصوصية والأمن، مما قد يعرض هؤلاء العملاء إلى “مسؤولية جنائية بموجب HIPAA وغرامات باهظة بموجب القانون العام لحماية البيانات”.
Delve هي شركة ناشئة مدعومة من Y Combinator أعلنت العام الماضي عن جمع 32 مليون دولار من السلسلة A بتقييم 300 مليون دولار. (قادت الجولة شركة Insight Partners.) وفي يوم الجمعة، حاولت الشركة الناشئة دحض الاتهامات على مدونتها، واصفة منشور Substack بأنه “مضلل” وقالت إنه “يحتوي على عدد من الادعاءات غير الدقيقة”.
يُنسب منشور Substack إلى “DeepDelver”، الذي وصف نفسه بأنه يعمل لدى عميل Delve (السابق الآن).
روى DeepDelver أنه تلقى بريدًا إلكترونيًا في ديسمبر يدعي أن الشركة الناشئة “سربت جدول بيانات يحتوي على تقارير سرية للعملاء”. وبينما أكد الرئيس التنفيذي لشركة Delve، كارون كوشيك، للعملاء في رسالة بريد إلكتروني لاحقة أنهم ملتزمون وأنه لم يتمكن أي طرف خارجي من الوصول إلى البيانات الحساسة، قال DeepDelver إنهم وعملاء آخرين أصبحوا مشبوهين.
وكتبوا: “بعد تجربتنا المشتركة المتمثلة في الإحباط من تجربة Delve، ووجود إحساس عام بحدوث شيء مريب، قررنا تجميع الموارد والتحقيق معًا”.
استنتاجهم؟ تحقق شركة Delve ادعاءها بأنها أسرع منصة من خلال إنتاج أدلة مزيفة، وتوليد استنتاجات المدققين نيابة عن مصانع إصدار الشهادات التي تصدر تقارير مطاطية، وتخطي متطلبات إطار العمل الرئيسية مع إخبار العملاء بأنهم حققوا امتثالًا بنسبة 100٪.
وقد تناولت شركة DeepDelver قدرا كبيرا من التفاصيل حول هذه الادعاءات، متهمة الشركة الناشئة بتزويد العملاء “بأدلة ملفقة على اجتماعات مجلس الإدارة والاختبارات والعمليات التي لم تحدث أبدا”، ثم إجبار هؤلاء العملاء على “الاختيار بين اعتماد أدلة مزيفة أو أداء عمل يدوي في الغالب مع القليل من الأتمتة الحقيقية أو الذكاء الاصطناعي”.
حدث تك كرانش
سان فرانسيسكو، كاليفورنيا
|
13-15 أكتوبر 2026
كما زعمت شركة ديب ديلفر أن كل عملاء ديلف تقريبا قد مروا عبر شركتين لمراجعة الحسابات، أكورب وجرادينت، اللتين وصفتهما بأنهما “جزء من نفس العملية”، وهي شركة تعمل في المقام الأول في الهند، مع وجود اسمي فقط في الولايات المتحدة.
وقالوا إن هذه الشركات مجرد تقارير مصدقة تم إنشاؤها بواسطة شركة Delve. ونتيجة لذلك، قالت شركة ديب ديلفر إن الشركة الناشئة “تقلب” هيكل الامتثال الطبيعي: “من خلال توليد استنتاجات المدققين، وإجراءات الاختبار، والتقارير النهائية قبل إجراء أي مراجعة مستقلة، تضع شركة ديلف نفسها في دور كل من المنفذ والممتحن. وهذا ليس مسألة فنية. بل هو احتيال هيكلي يبطل الشهادة بأكملها”.
بالإضافة إلى اتهام شركة Delve بتضليل عملائها، قالت DeepDelver إن الشركة الناشئة تساعد هؤلاء العملاء على “تضليل الجمهور من خلال استضافة صفحات ثقة تحتوي على إجراءات أمنية لم يتم تنفيذها مطلقًا”.
قال DeepDelver إنه بينما كانت شركتهم تناقش مشكلاتها مع Delve، أرسلت لنا الشركة الناشئة “صناديق متعددة من الكعك بالفعل لإبقائنا سعداء”. ومع ذلك، من المفترض أن صاحب عمل DeepDelver قام بإلغاء نشر صفحة الثقة الخاصة به ولم يعد يعتمد على الشركة الناشئة للامتثال.
ردت شركة Delve على الاتهامات بالقول إنها لا تصدر تقارير الامتثال على الإطلاق. وبدلاً من ذلك، فهي عبارة عن “منصة تشغيل آلي” تستوعب معلومات حول الامتثال، ثم توفر للمدققين إمكانية الوصول إلى تلك المعلومات.
وقالت الشركة: “يتم إصدار التقارير والآراء النهائية فقط من قبل مدققين مستقلين ومرخصين، وليس من شركة Delve”.
قالت Delve أيضًا أن عملائها “يمكنهم اختيار العمل مع مدقق من اختيارهم أو اختيار العمل مع مدقق من شبكة Delve من شركات التدقيق المستقلة والمعتمدة التابعة لجهات خارجية.” وقالت الشركة الناشئة إن هؤلاء المدققين هم “شركات راسخة تُستخدم على نطاق واسع في جميع أنحاء الصناعة، بما في ذلك منصات الامتثال الأخرى”.
ردًا على الاتهام بأنها تزود العملاء “بأدلة مزيفة”، ردت شركة Delve بأنها تقدم ببساطة “نماذج لمساعدة الفرق على توثيق عملياتها وفقًا لمتطلبات الامتثال، كما تفعل منصات الامتثال الأخرى”.
وقالت الشركة إن “نماذج المسودة ليست مثل” الأدلة المعبأة مسبقًا”.
وأضافت شركة Delve أنها “تحقق بنشاط في أي تسريبات” و”لا تزال تقوم بمراجعة Substack”.
بعد منشور Substack الأولي، قال مستخدم X يُدعى James Zhou إنهم تمكنوا من الوصول إلى المعلومات الحساسة من Delve مثل فحوصات خلفية الموظف وجداول استحقاق الأسهم. شارك مؤسس Dvuln Jamieson O’Reilly مزيدًا من التفاصيل مما قال O’Reilly إنه محادثة مع Zhou حول “العديد من الثغرات الأمنية الكبيرة في سطح الهجوم الخارجي لـ Delve”.
أرسلت TechCrunch بريدًا إلكترونيًا تطلب فيه تعليقًا إضافيًا إلى عنوان الاتصال بالوسائط المدرج على موقع Delve الإلكتروني. ارتدت رسالة البريد الإلكتروني، لكنني تلقيت بعد ذلك دعوة تقويمية للحصول على “عرض توضيحي لـ Delve” في وقت لاحق من هذا الأسبوع. تواصلت TechCrunch أيضًا مع DeepDelver للحصول على تعليق إضافي.
تم تحديث هذا المنشور بمعلومات إضافية حول الثغرات الأمنية المزعومة المقدمة من Jamieson O’Reilly، وتفاصيل إضافية حول استجابة Delve لـ TechCrunch.
