Delve | Kredit Gambar: Delve
Sebuah postingan anonim di Substack yang terbit minggu ini menuduh startup compliance bernama Delve telah "secara palsu" meyakinkan "ratusan pelanggan bahwa mereka sudah compliant" dengan aturan privasi dan keamanan. Hal ini berpotensi membawa pelanggan-pelanggan itu ke "tanggung jawab kriminal berdasarkan HIPAA dan denda berat dari GDPR."
Delve adalah startup yang didukung Y Combinator. Tahun lalu mereka umumkan pengumpulan dana Seri A senilai $32 juta dengan valuasi $300 juta. Di hari Jumat, startup itu coba bantah tuduhan tersebut di blog mereka. Mereka sebut postingan Substack itu "menyesatkan" dan "berisi sejumlah klaim yang tidak akurat."
Postingan Substack itu dikreditkan ke "DeepDelver," yang mendeskripsikan diri mereka pernah bekerja di klien Delve (sekarang mantan klien). Menanggapi pertanyaan dari TechCrunch, DeepDelver bilang mereka dan kolaboratornya "memilih tetap anonim karena takut dibalas oleh Delve."
Dalam postingannya, DeepDelver cerita terima email di Desember yang klaim startup itu telah "membocorkan spreadsheet berisi laporan rahasia klien." Meski CEO Delve Karun Kaushik konon jamin pelanggan dalam email berikutnya bahwa mereka sudah compliant dan tidak ada pihak luar yang akses data sensitif, DeepDelver bilang mereka dan pelanggan lain jadi curiga.
"Karena punya pengalaman bersama yang kurang memuaskan dengan Delve, dan punya firasat ada sesuatu yang aneh, kami putuskan untuk gabung sumber daya dan selidiki bersama," tulis mereka.
Kesimpulan mereka? Bahwa Delve "mencapai klaimnya sebagai platform tercepat dengan menghasilkan bukti palsu, membuat kesimpulan auditor atas nama pabrik sertifikasi yang cap laporan tanpa cek, dan melewatkan persyaratan utama framework sementara bilang ke klien bahwa mereka sudah 100% compliant."
DeepDelver juga klaim hampir semua klien Delve tampaknya melalui dua firma audit, Accorp dan Gradient, yang mereka deskripsikan sebagai "bagian dari operasi yang sama," yang beroperasi terutama di India, dengan kehadiran di AS hanya formalitas.
Firma-firma itu, kata mereka, hanya cap stempel laporan yang dibuat Delve. Akibatnya, DeepDelver bilang startup itu "membalik" struktur compliance normal. "Dengan membuat kesimpulan auditor, prosedur tes, dan laporan akhir sebelum review independen terjadi, Delve menempatkan dirinya sebagai pelaksana dan pemeriksa. Ini bukan hal teknis. Ini adalah penipuan struktural yang membuat seluruh attestasi jadi tidak valid."
Selain tuduhan menyesatkan pelanggan, DeepDelver bilang Delve juga bantu pelanggannya "menyesatkan publik dengan menghosting halaman trust yang berisi langkah keamanan yang tidak pernah diimplementasikan."
DeepDelver cerita saat perusahaannya bahas masalah dengan Delve, startup itu "kirim kami beberapa kotak donat […] untuk buat kami senang." Namun, perusahaan DeepDelver konon hapus halaman trust-nya dan tidak lagi andalkan Delve untuk compliance.
Delve tanggapi tuduhan dengan bilang mereka tidak terbitkan laporan compliance sama sekali. Mereka adalah "platform otomasi" yang mengumpulkan informasi tentang compliance, lalu beri auditor akses ke informasi itu.
"Laporan dan opini akhir dikeluarkan hanya oleh auditor independen berlisensi, bukan Delve," kata perusahaan itu.
Delve juga bilang pelanggannya "bisa pilih bekerja dengan auditor pilihan mereka atau pilih satu dari jaringan Delve yang terdiri dari firma audit pihak ketiga independen dan terakreditasi." Auditor-auditor itu, kata startup itu, adalah "firma mapan yang digunakan luas di industri, termasuk oleh platform compliance lain."
Menanggapi tuduhan menyediakan "bukti palsu," Delve bantah dengan bilang mereka cuma tawarkan "template untuk bantu tim mendokumentasikan proses mereka sesuai kebutuhan compliance, seperti yang dilakukan platform compliance lain."
"Template draf tidak sama dengan ‘bukti yang sudah diisi sebelumnya’," kata perusahaan itu.
Delve tambah bahwa mereka "sedang selidiki kebocoran apa pun" dan "masih tinjau postingan Substack itu."
Ditanya soal respons Delve, DeepDelver bilang ke TechCrunch mereka "bingung dengan kemalasan, kekikukan dan kelancangannya."
"Mereka coba cari cara lolos dari pertanggungjawaban dengan menyangkal punya ‘bukti yang sudah diisi’ tapi menyebutnya ‘template’, yang efeknya salahkan pelanggan karena pakai ‘template’ begitu saja," kata DeepDelver. "Mereka klaim mereka bukan yang ‘mengeluarkan’ laporan, yang mudah diklaim kalau kamu definisikan mengeluarkan laporan sebagai memberi cap akhir."
Mereka tambah ada "sejumlah tuduhan sangat serius" yang tidak ditanggapi Delve sama sekali: "Tuduhan soal India, kurangnya AI (mereka cuma bicara ‘otomasi’), dan halaman trust (lol) yang berisi kontrol tidak pernah diimplementasikan."
Tampaknya DeepDelver belum selesai kritiknya, karena mereka janji, "Bagian II akan menyusul."
Selain itu, setelah postingan Substack pertama, seorang pengguna X bernama James Zhou bilang mereka bisa dapat akses ke informasi sensitif dari Delve, seperti pemeriksaan latar belakang karyawan dan jadwal hak ekuitas. Pendiri Dvuln Jamieson O’Reilly berbagi lebih detail dari apa yang O’Reilly katakan sebagai percakapan dengan Zhou tentang "beberapa lubang keamanan besar di permukaan serangan eksternal Delve."
TechCrunch kirim email minta komentar tambahan ke alamat kontak media yang terdaftar di situs web Delve. Teks asli diambil dari Delve. Kredit foto: Delve
Emailnya tidak terkirim, tetapi setelah artikel ini diterbitim, saya mendapat undangan kalender untuk "demo Delve" minggu ini.
Artikel ini pertama kali terbit pada 21 Maret 2026. Sudah diperbarui dengan jawaban lewat email dari DeepDelver, informasi tambahan tentang kerentanan keamanan yang diklaim oleh Jamieson O’Reilly, dan detail lanjutan tentang respon Delve ke TechCrunch.