Um postagem anônima do Substack publicado esta semana acusa startup de compliance Aprofundar de convencer “falsamente” “centenas de clientes de que estavam em conformidade” com as regulamentações de privacidade e segurança, expondo potencialmente esses clientes a “responsabilidade criminal sob HIPAA e multas pesadas sob GDPR”.
Delve é uma startup apoiada pelo Y Combinator que no ano passado anunciou arrecadar US$ 32 milhões para a Série A com uma avaliação de US$ 300 milhões. (A rodada foi liderada pela Insight Partners.) Na sexta-feira, a startup tentou refutar as acusações em seu blogchamando a postagem do Substack de “enganosa” e dizendo que “contém uma série de afirmações imprecisas”.
A postagem do Substack é creditada a “DeepDelver”, que se descreveu como trabalhando em um (agora antigo) cliente Delve. Em resposta a perguntas enviadas por email pelo TechCrunch, DeepDelver disse que eles e seus colaboradores “optaram por permanecer anônimos por medo de retaliação por parte da Delve”.
Em sua postagem, DeepDelver relatou ter recebido um e-mail em dezembro alegando que a startup havia “vazado uma planilha com relatórios confidenciais de clientes”. Embora o CEO da Delve, Karun Kaushik, aparentemente tenha garantido aos clientes em um e-mail subsequente que eles estavam em conformidade e que nenhuma parte externa obteve acesso a dados confidenciais, a DeepDelver disse que eles e outros clientes ficaram desconfiados.
“Tendo a experiência compartilhada de não estar impressionados com a experiência Delve e tendo a sensação geral de que algo suspeito estava acontecendo, decidimos reunir recursos e investigar juntos”, escreveram eles.
A conclusão deles? Que a Delve “alcança sua pretensão de ser a plataforma mais rápida ao produzir evidências falsas, gerar conclusões de auditoria em nome de fábricas de certificação que carimbam relatórios e ignorar os principais requisitos da estrutura, ao mesmo tempo em que informa aos clientes que eles alcançaram 100% de conformidade”.
A DeepDelver entrou em detalhes consideráveis sobre essas alegações, acusando a startup de fornecer aos clientes “evidências fabricadas de reuniões de conselho, testes e processos que nunca aconteceram”, forçando então esses clientes a “escolher entre adotar evidências falsas ou realizar trabalho principalmente manual com pouca automação real ou IA”.
Evento Techcrunch
São Francisco, Califórnia
|
13 a 15 de outubro de 2026
A DeepDelver também afirmou que praticamente todos os clientes da Delve parecem ter passado por duas empresas de auditoria, a Accorp e a Gradient, que descreveram como “parte da mesma operação”, uma que opera principalmente na Índia, com presença apenas nominal nos Estados Unidos.
Essas empresas, disseram eles, são apenas relatórios de carimbo que foram gerados pela Delve. Como resultado, a DeepDelver disse que a startup “inverte” a estrutura normal de conformidade: “Ao gerar conclusões de auditores, procedimentos de teste e relatórios finais antes de ocorrer qualquer revisão independente, a Delve se coloca no papel de implementador e examinador. Isso não é um detalhe técnico. É uma fraude estrutural que invalida todo o atestado”.
Além de acusar a Delve de enganar seus clientes, a DeepDelver disse que a startup está ajudando esses clientes a “enganar o público ao hospedar páginas confiáveis que contêm medidas de segurança que nunca foram implementadas”.
DeepDelver disse que enquanto sua empresa discutia seus problemas com Delve, a startup “nos enviou várias caixas de donuts (…) para nos manter felizes”. No entanto, o empregador da DeepDelver supostamente cancelou a publicação de sua página de confiança e não depende mais da startup para conformidade.
A Delve respondeu às acusações dizendo que não emite nenhum relatório de conformidade. Em vez disso, é uma “plataforma de automação” que ingere informações sobre conformidade e, em seguida, fornece aos auditores acesso a essas informações.
“Os relatórios e opiniões finais são emitidos exclusivamente por auditores independentes e licenciados, não pela Delve”, disse a empresa.
A Delve também disse que seus clientes “podem optar por trabalhar com um auditor de sua escolha ou optar por trabalhar com um da rede de empresas de auditoria terceirizadas independentes e credenciadas da Delve”. Esses auditores, disse a startup, são “empresas estabelecidas amplamente utilizadas em todo o setor, inclusive por outras plataformas de conformidade”.
Em resposta à acusação de que está fornecendo “evidências falsas” aos clientes, a Delve respondeu que está simplesmente oferecendo “modelos para ajudar as equipes a documentar seus processos de acordo com os requisitos de conformidade, assim como outras plataformas de conformidade”.
“Modelos de rascunho não são a mesma coisa que ‘evidências pré-preenchidas’”, disse a empresa.
Delve acrescentou que está “investigando ativamente qualquer vazamento” e “ainda revisando o Substack”.
Quando questionado sobre a resposta do Delve, DeepDelver disse ao TechCrunch que eles estavam “perplexos com a preguiça, falta de jeito e ousadia disso”.
“Eles estão tentando escapar da responsabilização negando ter ‘evidências pré-preenchidas’, mas chamando-as de ‘modelos’, transferindo efetivamente a culpa para os clientes por adotarem os ‘modelos’ como estão”, disse DeepDelver. “Eles alegam que não são eles que ‘emitem’ o relatório, o que é fácil de afirmar se definirmos a emissão de um relatório como o fornecimento do carimbo final.”
Eles acrescentaram que há “uma série de alegações muito sérias” que Delve não abordou: “A acusação da Índia, a falta de IA (eles só falam sobre ‘automações’) e a página de confiança (risos) contendo controles que nunca foram implementados.”
Aparentemente, o DeepDelver ainda não terminou suas críticas, como prometeu: “A Parte II virá em breve”.
Além disso, após a postagem inicial do Substack, um usuário X chamado James Zhou disse eles conseguiram obter acesso a informações confidenciais do Delve, como verificações de antecedentes de funcionários e cronogramas de aquisição de direitos patrimoniais. Fundador da Dvuln, Jamieson O’Reilly compartilhou mais detalhes pelo que O’Reilly disse foi uma conversa com Zhou sobre “várias falhas de segurança na superfície de ataque externo do Delve”.
O TechCrunch enviou um e-mail solicitando comentários adicionais ao endereço de contato da mídia listado no site da Delve. O e-mail foi devolvido, mas depois que este artigo foi publicado, recebi um convite de calendário para uma “demonstração do Delve” no final desta semana.
Esta postagem foi publicada inicialmente em 21 de março de 2026. Ela foi atualizada com respostas enviadas por e-mail do DeepDelver, informações adicionais sobre supostas vulnerabilidades de segurança fornecidas por Jamieson O’Reilly e detalhes adicionais sobre a resposta da Delve ao TechCrunch.
