Индийский стартап с доставкой продуктов в индийском продуктовом магазине в недавней истории о потере данных в Киранапреро содержит больше отверстий, чем швейцарский сыр, поскольку стартап остается неясным, является ли инцидент внутренним нарушением или внешним взломом.
На прошлой неделе стартап из Бангалора обнаружил, что он не может получить доступ к своим средним серверам и что все его данные, включая код приложения, были удалены из GitHub. Стартап в пятницу обвинил бывшего сотрудника в нарушении. Однако в интервью соучредитель и генеральный директор Kiranapro Дипак Равиндран признал, что компания не отключила счет сотрудника после того, как они покинули компанию и не могут исключить возможность последующего злонамеренного неправильного использования их счета.
«Если мы пойдем глубже, мы должны провести реальное судебное расследование. Мы собираемся поговорить (об этом) об этом с нашим советом, инвесторами, и мы собираемся получить официальное мнение по этому поводу также с нашими юридическими консультантами», — сказал Равиндран TechCrunch.
Ранее, в пятницу, Равиндран заявил в посте о X, что инцидент, который повлиял на его данные, был внутренним нарушением.
«После тщательного расследования мы пришли к выводу, что это не было взломом. Ни одна внешняя сторона не проникла в наши системы заказов или платежей, не использовала уязвимости или обходил протоколы безопасности», — написал он.
Соучредитель также явно поделился скриншотом профиля LinkedIn одного из бывших сотрудников Киранапре на X в четверг, утверждая, что они удалили код стартапа. (TechCrunch не делится ссылкой пост, так как стартап еще не предложил конкретное доказательство, поддерживая его позицию.)
«(T) Он был внутренним нарушением данных. В частности, это было результатом действий, предпринятых доверенным внутренним работником, который имел законное доступ к нашим системам»,-написал соучредитель в своем посте в пятницу. «Этот человек намеренно удалил критические журналы серверов, когда они тестировались и/или отредактированы, действие, которое противоречит нашей политике, нашим принципам и доверию, которое мы привлекли в нашей команде».
Когда TechCrunch спросил, может ли Киранапре лит исключить, получила ли какая -либо третья сторона злонамеренно получить доступ к учетной записи бывшего сотрудника, Равиндран не мог.
«Мы должны провести полную судебно -медицинскую проверку компании. Мы должны сделать весь IP -сканирование. Мы должны посмотреть, где произошли треки. Мы должны проверить компьютеры, Macbook и все, что используется. Все должно быть сделано. Тогда мы должны потратить деньги… поэтому мы решили не делать этого», — сказал он TechCrunch.
Тогда что было основой утверждения Равиндрана? Это был ответ GitHub, копия которой он поделился с TechCrunch.
Ответ включал имя пользователя, которое, по словам Равиндрана, был связан с бывшим сотрудником.
«Все, что у нас есть, это электронные письма, которые мы получили от GitHub, заявив, что (имя пользователя бывшего сотрудника) как человек — тот, кто удалил учетную запись. Мы еще не провели расследование», — сказал Равиндран TechCrunch.
Учетная запись бывшего сотрудника никогда не была совершена на борт
Запущенный в конце 2024 года, Kiranapro работает в качестве приложения покупателя в открытой сети правительства Индии для цифровой торговли. Стартап позволяет более 55 000 клиентов в 50 городах покупать продукты в местных магазинах и близлежащих супермаркетах, используя свой голосовой интерфейс. Компания также поддерживает местные языковые данные, включая английский, хинди, малаялам и тамильский.
Равиндран заявил, что они решили вызвать бывшего сотрудника на основе «системы убеждений» компании, поскольку они утверждают, что бывший сотрудник удалил данные после внезапного прекращения.
Тем не менее, стартап сказал, что не знает, достаточно ли защиты на устройствах бывшего сотрудника, таких как многофакторная аутентификация, для ограничения злонамеренного доступа третьих сторон, таких как вредоносное ПО.
Компания подтвердила, что не удалила доступ работника к своим данным и учетной записи Github после его отъезда.
«Отслеживание сотрудника не обрабатывалось должным образом, потому что не было никакого кадров на полную ставку»,-подтвердил TechCrunch, главный директор Kiranapro Saurav Kumar.
Компания восстанавливает учетную запись AWS и данные GitHub
Наряду со своим кодом, сохраненным в GitHub, Kiranapro также потерял доступ к своей учетной записи Amazon Web Services (AWS), которая включала данные о клиентах и детали транзакции.
Равиндран сказал TechCrunch, что данные GitHub были восстановлены после того, как получили резервную копию от одного из их сотрудников. Стартап также восстановил доступ к своей учетной записи AWS вместе с данными клиентов.
И соучредитель, и технический директор заявили, что учетная запись AWS была защищена многофакторной аутентификацией, но ни один из них не мог сказать, как доступ к учетной записи, поскольку никто другой не имел физического доступа к телефону Равиндрана, который генерирует многофакторный код.
Тем не менее, Равиндран утверждал, что данные клиента, хранящиеся в облаке AWS, оставались нетронутыми и не были доступны ни одной третьими лицами, а также не загружались бывшим сотрудниками.
«Потому что, если это так, я получу его уведомление по электронной почте или что -нибудь (так)», — сказал он.
Тем не менее, Равиндран заявил, что у стартапа достаточно доказательств, чтобы подать официальную жалобу в полицию, но сказал, что его расследование продолжается.
Стартап также не полностью выплатил своим нынешним сотрудникам, подтвердил соучредитель компании, вскоре после того, как компания подняла семенный раунд в 100 миллионов фунтов стерлингов индийских рупий (около 1,2 миллиона долларов), что, по словам Равиндрана, еще не полностью подключена.
Стартап считает Blume Ventures, непопулярные предприятия и Turbostart среди своих институциональных спонсоров, а также олимпийского призера PV Sindhu и Boston Consulting Group управляющий директор Vikas Taneja среди своих инвесторов -ангелов. Он имеет 15 сотрудников, расположенных в Бангалоре и Керале.
