Sebuah posting Substack anonim diterbitkan minggu ini menuduh startup kepatuhan Menggali tentang “secara palsu” meyakinkan “ratusan pelanggan bahwa mereka mematuhi” peraturan privasi dan keamanan, yang berpotensi membuat pelanggan tersebut terkena “tanggung jawab pidana berdasarkan HIPAA dan denda besar berdasarkan GDPR.”
Delve adalah startup yang didukung Y Combinator pada tahun lalu mengumumkan penggalangan dana Seri A senilai $32 juta dengan penilaian $300 juta. (Putaran ini dipimpin oleh Insight Partners.) Pada hari Jumat, startup tersebut berusaha untuk membantah tuduhan tersebut di blognyamenyebut postingan Substack “menyesatkan” dan mengatakan “berisi sejumlah klaim yang tidak akurat.”
Postingan Substack dikreditkan ke “DeepDelver,” yang menggambarkan diri mereka bekerja di klien Delve (sekarang mantan).
DeepDelver menceritakan menerima email pada bulan Desember yang mengklaim bahwa startup tersebut telah “membocorkan spreadsheet dengan laporan rahasia klien.” Meskipun CEO Delve Karun Kaushik tampaknya meyakinkan pelanggan melalui email berikutnya bahwa mereka mematuhi dan tidak ada pihak eksternal yang memperoleh akses ke data sensitif, DeepDelver mengatakan mereka dan pelanggan lainnya menjadi curiga.
“Memiliki pengalaman yang sama karena merasa tidak puas dengan pengalaman Delve, dan merasa bahwa sesuatu yang mencurigakan sedang terjadi, kami memutuskan untuk mengumpulkan sumber daya dan menyelidiki bersama,” tulis mereka.
Kesimpulan mereka? Delve tersebut “mencapai klaimnya sebagai platform tercepat dengan menghasilkan bukti palsu, menghasilkan kesimpulan auditor atas nama pabrik sertifikasi yang melaporkan laporannya, dan mengabaikan persyaratan kerangka kerja utama sambil memberi tahu klien bahwa mereka telah mencapai kepatuhan 100%.
DeepDelver menjelaskan secara rinci klaim tersebut, menuduh startup tersebut memberikan pelanggan “bukti palsu mengenai rapat dewan, pengujian, dan proses yang tidak pernah terjadi,” kemudian memaksa pelanggan tersebut untuk “memilih antara mengadopsi bukti palsu atau melakukan sebagian besar pekerjaan manual dengan sedikit otomatisasi atau AI yang nyata.”
acara Techcrunch
San Fransisco, CA
|
13-15 Oktober 2026
DeepDelver juga mengklaim bahwa hampir semua klien Delve tampaknya telah melalui dua firma audit, Accorp dan Gradient, yang mereka gambarkan sebagai “bagian dari operasi yang sama,” yang beroperasi terutama di India, dan hanya sedikit yang hadir di Amerika Serikat.
Perusahaan-perusahaan itu, kata mereka, hanyalah laporan stempel yang dibuat oleh Delve. Akibatnya, DeepDelver mengatakan bahwa startup tersebut “membalikkan” struktur kepatuhan normal: “Dengan menghasilkan kesimpulan auditor, prosedur pengujian, dan laporan akhir sebelum peninjauan independen dilakukan, Delve menempatkan dirinya dalam peran sebagai pelaksana dan pemeriksa. Ini bukan masalah teknis. Ini adalah penipuan struktural yang membatalkan seluruh pengesahan.”
Selain menuduh Delve menyesatkan pelanggannya, DeepDelver mengatakan bahwa startup tersebut membantu pelanggan tersebut “menyesatkan publik dengan menghosting halaman kepercayaan yang berisi langkah-langkah keamanan yang tidak pernah diterapkan.”
DeepDelver mengatakan bahwa ketika perusahaan mereka mendiskusikan masalahnya dengan Delve, startup tersebut “mengirimkan kami beberapa kotak donat […] untuk membuat kita bahagia.” Meskipun demikian, perusahaan DeepDelver diduga tidak mempublikasikan halaman kepercayaannya dan tidak lagi bergantung pada startup untuk kepatuhan.
Delve menanggapi tuduhan tersebut dengan mengatakan pihaknya tidak mengeluarkan laporan kepatuhan sama sekali. Sebaliknya, ini adalah “platform otomasi” yang menyerap informasi tentang kepatuhan, kemudian memberi auditor akses ke informasi tersebut.
“Laporan akhir dan opini hanya dikeluarkan oleh auditor independen dan berlisensi, bukan Delve,” kata perusahaan itu.
Delve juga mengatakan bahwa pelanggannya “dapat memilih untuk bekerja dengan auditor pilihan mereka atau memilih untuk bekerja dengan salah satu dari jaringan firma audit pihak ketiga independen dan terakreditasi Delve.” Auditor tersebut, kata startup tersebut, adalah “perusahaan mapan yang digunakan secara luas di seluruh industri, termasuk oleh platform kepatuhan lainnya.”
Menanggapi tuduhan bahwa mereka memberikan “bukti palsu” kepada pelanggan, Delve membantah bahwa mereka hanya menawarkan “templat untuk membantu tim mendokumentasikan proses mereka sesuai dengan persyaratan kepatuhan, seperti halnya platform kepatuhan lainnya.”
“Draf template tidak sama dengan ‘bukti yang sudah diisi sebelumnya’,” kata perusahaan itu.
Delve menambahkan bahwa mereka “secara aktif menyelidiki kebocoran apa pun” dan “masih meninjau Substack.”
Mengikuti postingan awal Substack, pengguna X bernama James Zhou dikatakan mereka dapat memperoleh akses ke informasi sensitif dari Delve, seperti pemeriksaan latar belakang karyawan dan jadwal pemberian ekuitas. Pendiri Dvuln Jamieson O’Reilly berbagi rincian lebih lanjut dari apa yang O’Reilly katakan adalah percakapan dengan Zhou tentang “beberapa celah keamanan yang menganga di permukaan serangan eksternal Delve.”
TechCrunch mengirim email meminta komentar tambahan ke alamat kontak media yang tercantum di situs web Delve. Email tersebut terpental, namun saya kemudian menerima undangan kalender untuk “demo Delve” akhir minggu ini. TechCrunch juga menghubungi DeepDelver untuk memberikan komentar tambahan.
Posting ini telah diperbarui dengan informasi tambahan tentang dugaan kerentanan keamanan yang disediakan oleh Jamieson O’Reilly, dan detail tambahan tentang respons Delve terhadap TechCrunch.