Startup pengiriman alur India kiranapro baru -baru ini Kehilangan data Kisah ini memiliki lebih banyak lubang daripada keju Swiss, karena startup masih jelas apakah insiden itu adalah pemerkosaan internal atau trik eksternal.
Pekan lalu, startup yang berbasis di Bengaluru menemukan bahwa ia tidak dapat mengakses server latar belakangnya dan bahwa semua datanya, termasuk kode aplikasinya, telah dieliminasi dari GitHub. Startup Jumat menyalahkan mantan karyawan karena pemerkosaan. Namun, dalam sebuah wawancara, Kiranapro Co -founder dan CEO Deepak Ravindran mengakui bahwa perusahaan tidak menonaktifkan akun karyawan setelah mereka meninggalkan perusahaan dan tidak dapat mengesampingkan kemungkinan penyalahgunaan berbahaya berikutnya atas akunnya.
“Jika kita memperdalam, kita harus melakukan penyelidikan forensik nyata. Mari kita bicara [about] Ini dengan dewan kami, investor dan kami juga akan mendapatkan pendapat formal tentang hal itu dengan penasihat hukum kami, “kata Ravindran kepada TechCrunch.
Sebelumnya Jumat, Ravindran mengklaim dalam a Publikasikan di x bahwa insiden yang mempengaruhi datanya adalah pelanggaran internal.
“Setelah penyelidikan yang cermat, kami menyimpulkan bahwa ini bukan trik. Bagian eksternal setiap menembus permintaan atau sistem pembayaran kami, mengeksploitasi kerentanan atau protokol keamanan yang dihilangkan,” tulisnya.
Co -founder juga secara eksplisit berbagi tangkapan layar dari profil LinkedIn dari salah satu mantan karyawan Kiranapro di X pada hari Kamis, mengklaim bahwa mereka telah menghilangkan kode startup. (TechCrunch tidak berbagi tautan publikasi, karena startup belum menawarkan tes khusus yang mendukung posisinya).
“[T]ITS adalah pelanggaran data internal. Secara khusus, itu adalah hasil dari tindakan yang diambil oleh karyawan tepercaya internal yang memiliki akses sah ke sistem kami, “tulis co -founder dalam publikasi pada hari Jumat.” Individu ini dengan sengaja menghilangkan catatan server kritis sambil terbukti dan/atau diedit, suatu tindakan yang langsung bertentangan dengan kebijakan kami, prinsip -prinsip kami dan kepercayaan pada tim kami. “
Ketika TechCrunch bertanya apakah Kiranapro dapat mengesampingkan apakah ada pihak ketiga yang memperoleh akses ke akun mantan karyawan, Ravindran tidak bisa.
“Kita harus melakukan pemeriksaan forensik lengkap di perusahaan. Kita harus melakukan semua eksplorasi IP. Kita harus melihat di mana petunjuk terjadi. Kita harus berkonsultasi dengan komputer, MacBook dan apa pun yang digunakan. Semuanya harus dilakukan. Kemudian kita harus menghabiskan uang … jadi, itulah sebabnya kita memutuskan untuk tidak melakukannya,” katanya kepada TechCrunch.
Jadi apa dasar tuduhan Ravindran? Itu adalah respons GitHub, salinan yang ia bagikan dengan TechCrunch.
Jawabannya termasuk nama pengguna, yang menurut Ravindran dia dikaitkan dengan mantan karyawan itu.
“Yang kami miliki hanyalah email yang kami terima dari GitHub, yang menyatakan itu [the former employee’s username] Sebagai individu, dia adalah orang yang menghilangkan akun. Kami belum melakukan penyelidikan di luar, ”kata Ravindran kepada TechCrunch.
Akun mantan karyawan itu tidak pernah keluar dari tepi
Jalankan pada akhir 2024, Kiranapro beroperasi sebagai aplikasi pembeli di jaringan terbuka pemerintah India untuk perdagangan digital. Startup ini memungkinkan lebih dari 55.000 pelanggan di 50 kota untuk membeli dapat dimakan di toko -toko lokal mereka dan supermarket terdekat menggunakan antarmuka berbasis suara mereka. Perusahaan juga mendukung kontribusi bahasa lokal, termasuk bahasa Inggris, Hindi, Malayalam dan Tamil.
Ravindran menyatakan bahwa mereka memutuskan untuk memanggil mantan karyawan berdasarkan “sistem kepercayaan” perusahaan, karena mereka mengklaim bahwa mantan karyawan menghilangkan data setelah penghentian mendadaknya.
Namun, startup mengatakan tidak mengetahui apakah ada cukup perlindungan di perangkat sebelumnya, seperti Otentikasi multifaktorUntuk membatasi akses jahat dari pihak ketiga, seperti malware.
Perusahaan mengkonfirmasi bahwa mereka tidak menghilangkan akses karyawan ke data dan akun GitHub setelah keberangkatannya.
“Karyawan keluar -edge tidak ditangani dengan benar karena tidak ada sumber daya manusia penuh waktu,” kata Direktur Teknologi Kiranapro Saurav Kumar, TechCrunch.
Perusahaan mengembalikan akun AWS dan data GitHub
Bersama dengan kodenya yang disimpan di Github, Kiranapro juga kehilangan akses ke akun Amazon Web Services (AWS), yang termasuk data kliennya dan rincian transaksinya.
Ravindran mengatakan kepada TechCrunch bahwa data GitHub dipulihkan setelah mendapatkan cadangan mereka dari salah satu karyawannya. Startup juga memulihkan akses ke akun AWS -nya bersama dengan data pelanggannya.
Baik co -founder dan CTO mengatakan bahwa akun AWS dilindungi oleh otentikasi multifaktor, tetapi tidak ada yang bisa mengatakan bagaimana akun itu diakses, karena tidak ada orang lain yang memiliki akses fisik ke ponsel Ravindran, yang menghasilkan kode multifaktor.
Namun, Ravindran mengatakan bahwa data pelanggan yang disimpan di cloud AWS tetap utuh dan tidak diakses oleh pihak ketiga, juga tidak diunduh oleh mantan karyawan yang bersangkutan.
“Karena jika itu masalahnya, saya akan menerima pemberitahuan Anda melalui email atau apapun [sic]”, Dikatakan.
Yang mengatakan, Ravindran menyatakan bahwa startup memiliki cukup bukti untuk memberikan keluhan formal kepada polisi, tetapi mengatakan penyelidikannya sedang berlangsung.
Startup belum sepenuhnya membayar karyawan saat ini, mengkonfirmasi co -founder perusahaan, tak lama setelah perusahaan menaikkan putaran benih sebesar ₹ 100 juta rupee India (sekitar $ 1,2 juta), yang Ravindran katakan belum sepenuhnya terhubung.
Startup menghitung Blume Ventures, Impopular Ventures dan Tobostart di antara sponsor perusahaan institusionalnya, serta peraih medali Olimpiade PV Sindhu dan direktur pelaksana Boston Consulting Group, Vikas Taneja, di antara para malaikatnya. Ini memiliki 15 karyawan yang berlokasi di Bangalore dan Kerala.
