История с проблемным стартапом Delve, специализирующимся на сертификации соответствия требованиям безопасности, продолжает развиваться с новыми скандалами.
Delve и утечка в Vercel
TechCrunch выяснил, что Delve проводил сертификацию безопасности для стартапа Context AI, чьё приложение стало воротами для взлома крупной платформы хостинга Vercel. На прошлой неделе Vercel сообщил об утечке — хакеры получили доступ к внутренним системам и данным клиентов.
Взлом произошёл после того, как сотрудник Vercel установил приложение от Context AI и подключил его к корпоративному аккаунту в Google. Злоумышленники воспользовались этим доступом, чтобы проникнуть в системы Vercel.
Позже стало известно, что Delve (Delve) проводил сертификацию безопасности для Context AI. Автор популярного инженерного бюллетеня The Pragmatic Engineer, Гергели Орос (Gergely Orosz), сообщил в соцсети X, что именно Delve выдал сертификат Context AI.
Представитель Context AI подтвердил TechCrunch, что ранее использовал услуги Delve, но после публикаций о скандале вокруг стартапа перешёл на другого провайдера — Ванту (Vanta), а также привлёк независимую аудиторскую фирму Insight Assurance для повторной проверки.
«Да, ранее Context был клиентом Delve. После публикаций о Delve в марте мы перевели программу соответствия требованиям на Ванту и проводим новые аудиты. Как только получим новые подтверждения, опубликуем их».
Сертификация — не гарантия безопасности
Сертификация сама по себе не защищает от взломов. Она лишь подтверждает, что у компании есть процессы и политики, снижающие риски утечек.
Пример — платформа Lovable (Lovable), тоже бывший клиент Delve. После появления жалоб анонимного информатора Lovable отказалась от Delve ещё в конце 2025 года и начала повторную сертификацию.
Но на этой неделе Lovable признала: из-за ошибки в настройках часть данных чатов клиентов оказалась доступна публично. Компания также проигнорировала предупреждения о уязвимости, поступавшие за несколько месяцев до инцидента.
Сначала Lovable отрицала утечку, но позже принесла извинения. При этом подчеркнула: это была ошибка конфигурации, а не хакерская атака.
Delve теряет доверие
Ранее Delve уже попал под удар: анонимный информатор по имени DeepDelver (DeepDelver) обвинил стартап в фальсификации данных клиентов, использовании «резиновых печатей» при аудите и неправомерном использовании открытого ПО без указания лицензии.
После этого хакеры внедрили вредоносный код в проект одного из клиентов Delve — LiteLLM (LiteLLM), и тот тоже расторг с ним отношения.
Репутация Delve настолько пострадала, что инкубатор Y Combinator (Y Combinator) разорвал с ним связи.
Скандал продолжается
Теперь DeepDelver утверждает, что Delve отказывает клиентам в возврате денег, но при этом отправил более 20 сотрудников на корпоратив в Гавайи с 15 по 19 апреля.
TechCrunch получил подтверждающие документы о поездке, но проверить другие обвинения не удалось.
Delve не ответил на запросы о комментариях. Письмо на адрес для СМИ вернулось с ошибкой.