زلزال في قطاع الأمن السيبراني: اتهامات بالاحتيال الهيكلي

واجهت شركة Delve الناشئة، المدعومة من Y Combinator والمتخصصة في حلول الامتثال، اتهامات خطيرة هذا الأسبوع تضرب مصداقيتها في الصميم. وزعم منشور مجهول نُشر على منصة “Substack” أن الشركة أقنعت مئات العملاء كذباً بامتثالهم للوائح الخصوصية والأمن العالمية، مما يضع هؤلاء العملاء تحت طائلة المسؤولية الجنائية بموجب قانون (HIPAA) وعرضة لغرامات باهظة بموجب لائحة حماية البيانات العامة (GDPR).

تُعد Delve من الشركات الصاعدة في وادي السيليكون، حيث أعلنت العام الماضي عن جمع 32 مليون دولار في جولة تمويل من الفئة (A) بقيادة شركة “Insight Partners”، ليتجاوز تقييمها 300 مليون دولار. وفي محاولة لاحتواء الأزمة، نشرت الشركة بياناً عبر مدونتها الرسمية وصفت فيه الادعاءات بأنها “مضللة” وتحتوي على “معلومات غير دقيقة”.

كواليس الأزمة: أدلة مفبركة ومكاتب تدقيق صورية

صاحب المنشور، الذي أطلق على نفسه اسم “DeepDelver” وعرف نفسه كعميل سابق للشركة، سرد تفاصيل مثيرة للقلق بدأت بتلقي بريد إلكتروني في ديسمبر الماضي يزعم حدوث تسريب لبيانات سرية للعملاء. ورغم تأكيدات كارون كوشيك، الرئيس التنفيذي لشركة Delve، بعدم وصول أي أطراف خارجية للبيانات، إلا أن الشكوك بدأت تتسلل إلى العملاء.

وحسب ما جاء في المنشور، خلص التحقيق الذي أجراه مجموعة من العملاء إلى أن Delve تحقق وعودها بكونها “أسرع منصة امتثال” عبر الوسائل التالية:

  • توليد أدلة مزيفة لاجتماعات مجلس إدارة واختبارات أمنية لم تحدث على أرض الواقع.
  • تجاوز المتطلبات الأساسية للأطر التنظيمية مع إيهام العميل بتحقيق امتثال بنسبة 100%.
  • إجبار العملاء على الاختيار بين اعتماد الأدلة المفبركة أو العودة للعمل اليدوي الشاق بسبب ضعف قدرات الأتمتة والذكاء الاصطناعي في المنصة.

تساؤلات حول نزاهة التدقيق

كشف المنشور أيضاً عن نمط مثير للريبة، حيث يمر معظم عملاء Delve عبر شركتي تدقيق هما “Accorp” و”Gradient”. ووصف “DeepDelver” هاتين الشركتين بأنهما مجرد واجهة لعملية واحدة تدار من الهند، وتقتصر مهمتهما على “التوقيع” (Rubber-stamping) على التقارير التي تنشئها Delve مسبقاً.

هذا الهيكل المزعوم يضع Delve في دور “المنفذ والمراقب” في آن واحد، وهو ما اعتبره التقرير “احتيالاً هيكلياً” يبطل قيمة شهادات الامتثال قانونياً وفنياً. علاوة على ذلك، اتُهمت الشركة بمساعدة عملائها على تضليل الجمهور عبر استضافة “صفحات ثقة” (Trust pages) تعرض إجراءات أمنية لم يتم تنفيذها فعلياً.

دفاع Delve: “نحن مجرد منصة تقنية”

في المقابل، دافعت Delve عن نموذج عملها موضحة أنها لا تصدر تقارير امتثال بنفسها، بل هي “منصة أتمتة” تجمع المعلومات وتوفرها للمدققين. وأكدت الشركة على النقاط التالية:

  • التقارير النهائية والآراء المهنية تصدر حصراً عن مدققين مستقلين ومرخصين.
  • يمكن للعملاء اختيار أي مدقق خارجي أو استخدام شبكة المدققين المعتمدين لدى المنصة.
  • ما وصف بـ “الأدلة المزيفة” ليس سوى “نماذج جاهزة” (Templates) لمساعدة الفرق على توثيق عملياتها وفق المتطلبات القياسية.

ثغرات أمنية تزيد الطين بلة

لم تتوقف الأزمة عند حدود التقارير الورقية، بل امتدت لتشمل الجانب التقني. فقد ادعى “جيمس زو”، أحد مستخدمي منصة X، تمكنه من الوصول إلى بيانات بالغة الحساسية عبر منصة Delve، تشمل فحوصات خلفية الموظفين وجداول استحقاق الأسهم. كما عزز “جاميسون أورايلي”، مؤسس شركة Dvuln، هذه الادعاءات بالإشارة إلى وجود ثغرات أمنية فادحة في البنية التحتية الخارجية للشركة، مما يضع مصداقية Delve كشركة أمن سيبراني على المحك.

المصدر: TechCrunch

مواضيع مشابهة:

“أنثروبيك” تعزز هيمنتها على سوق حلول الشركات بشراكة استراتيجية مع عملاق التأمين “أليانز” شركة “موشنال” تضع الذكاء الاصطناعي في قلب استراتيجيتها الجديدة وتستهدف عام 2026 لإطلاق خدمات القيادة الذاتية حاكمة نيويورك تمهد الطريق لسيارات “الروبوتاكسي”: تشريعات جديدة تستثني القلب النابض للولاية صعود التطبيقات “المصغرة”: عندما يبرمج المستخدمون أدواتهم بدلاً من شرائها