A história recente do episódio de compras indiano Kiranapro sobre perda de dados tem mais lacunas do que queijo suíço, porque a startup ainda não está clara se o incidente foi uma infração interna ou um hack externo.
Na semana passada, a Fundação Startup-Up descobriu que não tinha acesso a seus servidores de back-end e que todos os dados, incluindo o código do aplicativo, haviam sido removidos do GitHub. A startup na sexta -feira culpou um ex -funcionário. Em uma entrevista, no entanto, Kiranapro deu ao co-fundador e CEO Deepak Ravindran que a empresa não havia desativado a conta do funcionário depois de deixar a empresa e não conseguiu excluir a possibilidade de abuso maligno subsequente de sua conta.
“Se formos mais profundos, temos que fazer uma investigação forense real. Vamos fazer isso com nosso conselho, os investidores, e teremos uma opinião formal sobre isso com nossos consultores jurídicos”, disse Ravindran à TechCrunch.
No início da sexta -feira, Ravindran reivindicou em uma posição em X que o incidente que influenciou seus dados foi uma violação interna.
“Após uma pesquisa cuidadosa, concluímos que isso não foi um hack. Nenhuma parte externa penetrou em nossos sistemas de ordem ou pagamento, abordou vulnerabilidades ou ignorou protocolos de segurança”, escreveu ele.
O co-fundador também compartilhou explicitamente uma captura de tela de um perfil do LinkedIn de um dos ex-funcionários de Kiranapro no X na quinta-feira, alegando que eles haviam removido o código da startup. (O TechCrunch não compartilha o link da postagem, porque a startup ainda não precisa oferecer evidências concretas que apóiam sua posição.)
“Ele era uma violação de dados internos. Em particular, foi o resultado de ações de um funcionário interno confiável que tinha acesso legítimo aos nossos sistemas”, escreveu o co-fundador em sua posição na sexta-feira. “Essa pessoa removeu deliberadamente os registros de servidores críticos enquanto foram testados e/ou editados, uma ação que lida diretamente contra nossa política, nossos princípios e confiança em nossa equipe”.
Quando o TechCrunch perguntou se Kiranapro poderia excluir se terceiros tinham acesso malicioso à conta do ex -funcionário, Ravindran não conseguiu.
“Temos que fazer uma verificação forense completa da empresa. Temos que fazer toda a varredura de IP. Temos que ver onde as faixas aconteceram. Temos que verificar os computadores, os MacBooks e o que é usado. Tudo deve ser feito. Então temos que gastar dinheiro … por isso decidimos não fazê -lo”, disse ele.
Qual foi a base da declaração de Ravindran? Foi uma resposta do Github, uma cópia que ele compartilhou com o TechCrunch.
A resposta incluiu um nome de usuário, do qual Ravindran disse que estava associado ao ex -funcionário.
“Tudo o que temos são os correios que recebemos do Github, que afirma que (o nome de usuário do ex -funcionário) como indivíduo é quem excluiu a conta. Não fizemos a investigação ainda mais”, disse Ravindran à TechCrunch.
A conta do ex -funcionário nunca foi trazida desde o início
Kiranapro foi lançado no final de 2024 e trabalha como um aplicativo de comprador na rede aberta do governo indiano para o comércio digital. Com a startup, mais de 55.000 clientes em 50 cidades podem comprar mantimentos em suas lojas locais e supermercados próximos usando sua interface baseada em fala. A empresa também suporta informações do idioma local, incluindo inglês, hindi, malaiala e tâmil.
Ravindran afirmou que eles decidiram chamar o ex -funcionário com base no ‘sistema religioso’ da empresa, porque afirmam que o ex -funcionário excluiu os dados após seu término repentino.
A startup disse, no entanto, que não sabe se havia proteção suficiente nos dispositivos do ex-funcionário, como a autenticação de vários fatores, para limitar o acesso maligno a terceiros, como malware.
A empresa confirmou que não excluiu o acesso do funcionário aos seus dados e conta do GitHub após sua partida.
“O offboard dos funcionários não foi tratado corretamente porque não havia RH completo -confirmou o diretor de tecnologia de Kiranapro, Saurav Kumar, para o TechCrunch.
A empresa restaura a AWS -conta e github -data
Além de seu código armazenado no Github, Kiranapro também perdeu o acesso à sua conta da Amazon Web Services (AWS), que continha seus dados de clientes e seus dados de transação.
Ravindran disse ao TechCrunch que os dados do Github foram restaurados depois de terem obtido seu apoio de um de seus funcionários. A startup também teve acesso à sua conta da AWS, juntamente com os dados do cliente.
Tanto o co-fundador quanto o CTO disseram que a conta da AWS estava protegida pela autenticação de vários fatores, mas nenhum deles poderia dizer como a conta era acessível, porque ninguém mais tinha acesso físico ao telefone de Ravindran, que gera o código multifactor.
No entanto, Ravindran afirmou que os dados do cliente armazenados na nuvem da AWS permaneceram intactos e não eram acessíveis por terceiros, nem foram baixados pelo ex -funcionário em questão.
“Porque se for esse o caso, receberei a mensagem no e -mail ou algo assim (sic)”, disse ele.
Dito isto, Ravindran afirmou que a startup tem evidências suficientes para enviar uma queixa formal à polícia, mas disse que a investigação está em andamento.
A startup também não pagou a seus funcionários atuais, o co-fundador da empresa confirmou, logo após a empresa ter coletado um esperma de £ 100 milhões de rúpias indianas (cerca de US $ 1,2 milhão), dos quais Ravindran disse que ainda precisa ser completamente conectada.
A startup possui empreendimentos de blume, empreendimentos impressionados e turbostart sob suas empresas institucionais, bem como o vencedor da medalha olímpica PV Sindhu e o diretor -gerente do Grupo de Consultoria de Boston, Vikas Taneja, entre seus investidores da Engel. Possui 15 funcionários em Bengaluru e Kerala.
