La reciente historia de pérdida de datos de la startup de entrega de comestibles de la India Kiranapro tiene más agujeros que el queso suizo, ya que la startup sigue desconocida si el incidente es una violación interna o un truco externo.
La semana pasada, la startup con sede en Bengaluru descubrió que no tenía acceso a sus servidores de backend y que todos los datos, incluido su código de aplicación, se eliminaron de GitHub. La startup del viernes condenó a un ex empleado por violaciones. Sin embargo, en una entrevista, el cofundador y CEO de Kiranapro, Deepak Ravindran, admitió que después de que la compañía dejó la compañía, no había desactivado las cuentas de sus empleados y no podía descartar la posibilidad de un mal uso malicioso posterior.
«Si nos profundizamos, tenemos que hacer una investigación forense real. Hablaremos de esto con la junta, los inversores (sobre eso), y obtendremos una opinión formal con el asesor legal», dijo Rabindran a TechCrunch.
Más temprano el viernes, Rabindran, en un puesto de X, afirmó que el incidente que afectó los datos fue una violación interna.
«Después de una cuidadosa investigación, concluimos que esto no es un truco. No hay partes externas que se hayan infiltrado en la orden o el sistema de pago, las vulnerabilidades explotadas o los protocolos de seguridad evitados», escribe.
El cofundador también afirma que el jueves compartió explícitamente una captura de pantalla de un perfil de LinkedIn de uno de los ex empleados de Kiranapro de X, eliminando el código de la startup. (TechCrunch no comparte los enlaces a las publicaciones, ya que aún no ha proporcionado evidencia concreta de que la startup respalde su ubicación).
«(T) fue una violación de datos internos. Específicamente, fue el resultado de las acciones tomadas por los empleados internos de confianza quienes tenían acceso legítimo a nuestro sistema», escribió el cofundador en una publicación el viernes. «Este individuo eliminó intencionalmente los registros importantes del servidor durante las pruebas y/o la edición. Esta es una acción que contrarresta directamente nuestras políticas, principios y confianza que colocamos en nuestro equipo».
Cuando TechCrunch preguntó si Kiranapro podría descartar si las cuentas de los antiguos empleados podrían acceder a ellos maliciosamente, Ravindran no pudo.
«Tenemos que hacer un cheque forense completo en nuestra empresa. Tenemos que hacer una exploración IP completa. Tenemos que ver dónde ocurrió el camión. Tenemos que consultar nuestras computadoras, MacBooks y qué se usa.
Entonces, ¿cuál fue la base de la acusación de Rabindran? Fue una respuesta de GitHub, y una copia se compartió con TechCrunch.
La respuesta incluyó un nombre de usuario que Ravindran dijo que estaba asociado con el empleado anterior.
«Lo que tenemos es un correo electrónico que recibimos de Github que dice (el antiguo nombre de usuario del empleado) es la persona que eliminó la cuenta. No hemos realizado ninguna investigación adicional», dijo Ravindran a TechCrunch.
Las antiguas cuentas de empleados nunca han sido fuera de borde
Lanzado a fines de 2024, Kiranapro opera como una aplicación de comprador en la red abierta de comercio digital del gobierno indio. La startup permite que más de 55,000 clientes en 50 ciudades compraran comestibles de tiendas locales y supermercados cercanos utilizando una interfaz basada en la voz. La compañía también apoya los aportes del idioma local, como inglés, hindi, malayalam y tamil.
Ravindran dijo que decidió llamar a los ex empleados en función del «sistema de creencias» de la compañía porque afirma que los ex empleados eliminaron los datos después de la terminación repentina.
Sin embargo, la startup dijo que no es consciente de que los antiguos dispositivos de empleados tienen una protección suficiente, como la autenticación multifactor, para restringir el acceso de terceros maliciosos, como el malware.
La compañía confirmó que no eliminaba los datos de los empleados y el acceso a las cuentas de GitHub después de su salida.
«Como no había recursos humanos a tiempo completo, el fuera de los empleados no se manejó adecuadamente», confirmó el director de tecnología de Kiranapro, Sauraf Kumar, a TechCrunch.
La empresa restaurará las cuentas de AWS y los datos de GitHub
Además del código guardado en GitHub, Kiranapro tampoco pudo acceder a su cuenta de Amazon Web Services (AWS). Esto incluye datos del cliente y detalles de transacción.
Ravindran le dijo a TechCrunch que los datos de Github fueron restaurados después de tomar copias de seguridad de uno de sus empleados. La startup también ha recuperado el acceso a sus cuentas de AWS junto con los datos del cliente.
Tanto el cofundador como el CTO dijeron que la cuenta de AWS estaba protegida por la autenticación multifactorial, pero no podían decir cómo se accedía a la cuenta ya que nadie más tenía acceso físico al teléfono de Ravindran, lo que generó el código multifactorial.
Sin embargo, Ravindran afirmó que los datos del cliente almacenados en la nube de AWS estaban intactos, no accedidos por terceros, y no descargados por el ex empleado en cuestión.
«Si ese es el caso, recibiré esa notificación en un correo electrónico o algo (sic)», dijo.
Dicho esto, Ravindran dijo que la startup tenía suficiente evidencia para presentar una queja formal ante la policía, pero la investigación está en curso.
La startup tampoco está pagando por completo a sus empleados actuales, confirmó el cofundador de la compañía poco después de que la compañía recaudó una ronda de semillas de £ 100 millones (aproximadamente $ 1.2 millones).
La startup cuenta Blume Ventures, Ventures y Turbostarts impopulares entre los patrocinadores de riesgo de la instalación, mientras que los medallistas olímpicos PV Sindhu y el director gerente Vikas Taneja del Grupo Consultoría de Boston como Angel Investors. Tenemos 15 empleados en Bangalore y Kerala.
Source link
