Indijos maisto prekių pristatymo pradžia „Kiranapro“ naujausia duomenų praradimo istorija turi daugiau skylių nei Šveicarijos sūrio, nes startuolis išlieka neaiškus, ar incidentas buvo vidinis pažeidimas, ar išorinis įsilaužimas.
Praėjusią savaitę „Bengaluru“ įkurtas startuolis išsiaiškino, kad ji negali pasiekti savo galinių serverių ir kad visi jo duomenys, įskaitant programos kodą, buvo ištrinti iš „GitHub“. Penktadienį startuolis kaltino buvusį darbuotoją už pažeidimą. Tačiau interviu „Kiranapro“ įkūrėjas ir generalinis direktorius Deepakas Ravindranas pripažino, kad bendrovė neišbrėžė darbuotojo sąskaitos po to, kai jie išvyko iš įmonės ir negali atmesti galimybės vėlesnio kenkėjiško netinkamo savo sąskaitos naudojimo.
„Jei mes einame giliau, turime atlikti realų teismo medicinos tyrimą. Mes ketiname kalbėtis (apie tai) su savo valdyba, investuotojais, ir mes ketiname apie tai, kad su savo teisiniais patarėjais gausime oficialią nuomonę”, – „TechCrunch“ pasakojo Ravindranas.
Anksčiau penktadienį Ravindranas pranešime apie X teigė, kad incidentas, paveikęs jo duomenis, buvo vidinis pažeidimas.
„Po kruopštaus tyrimo darome išvadą, kad tai nebuvo įsilaužimas. Jokios išorės partijos prasiskverbė į mūsų užsakymo ar mokėjimo sistemas, išnaudojo pažeidžiamumus ar apeidami saugumo protokolus”, – rašė jis.
Įkūrėjas taip pat aiškiai pasidalino vieno iš buvusių „Kiranapro“ darbuotojų „LinkedIn“ profilio ekrano kopija ketvirtadienį, tvirtindamas, kad jie ištrynė startuolio kodą. („TechCrunch“ nesidalija įrašo nuoroda, nes startuolis dar turi pasiūlyti konkrečių įrodymų, patvirtinančių jo poziciją.)
„(T) jis buvo vidinis duomenų pažeidimas. Konkrečiai, tai buvo veiksmų, kuriuos ėmėsi patikimas vidinis darbuotojas, turėjęs teisėtą prieigą prie mūsų sistemų“,-penktadienį savo įkūrėjoje rašė įkūrėjas. „Šis individas tyčia ištrino kritinius serverio žurnalus, kol jie buvo išbandomi ir (arba) redaguojami, veiksmas, tiesiogiai prieštaraujantis mūsų politikai, mūsų principams ir pasitikėjimui, kurį mes teikiame mūsų komandoje.“
Kai „TechCrunch“ paklausė, ar „Kiranapro“ galėtų atmesti, ar bet kuri trečiajai šaliai piktybiškai suteikė prieigą prie buvusio darbuotojo sąskaitos, Ravindranas negalėjo.
„Turime atlikti išsamų teismo medicinos patikrinimą įmonėje. Turime atlikti visą IP nuskaitymą. Turime pažiūrėti, kur įvyko takeliai. Turime patikrinti kompiuterius,„ Macbooks “ir tai, kas naudojama. Viskas turi būti padaryta. Tada turime išleisti pinigus … Taigi, todėl nusprendėme to nedaryti”, – sakė jis „TechCrunch“.
Tada koks buvo Ravindrano įtarimų pagrindas? Tai buvo „GitHub“ atsakymas, kurio kopija pasidalino su „TechCrunch“.
Atsakymas apėmė vartotojo vardą, kuris, pasak Ravindrano, buvo susijęs su buvusiu darbuotoju.
„Viskas, ką turime, yra el. Laiškai, kuriuos gavome iš„ GitHub “, teigdami, kad (buvusio darbuotojo vartotojo vardas), kaip asmens, yra tas, kuris ištrynė sąskaitą. Mes dar neatlikome tyrimo“, – „TechCrunch“ pasakojo Ravindranas.
Buvusios darbuotojo sąskaita niekada nebuvo pašalinta
„Kiranapro“, paleista 2024 m. Pabaigoje, veikia kaip pirkėjų programa Indijos vyriausybės atvirame skaitmeninės komercijos tinkle. „Startup“ leidžia daugiau nei 55 000 klientų 50 miestų įsigyti maisto prekių iš savo vietinių parduotuvių ir netoliese esančių prekybos centrų, naudojant jos balso pagrindu sukurtą sąsają. Bendrovė taip pat remia vietinės kalbos sąnaudas, įskaitant anglų, hindi, malajalamą ir tamilus.
Ravindranas pareiškė, kad jie nusprendė iškviesti buvusį darbuotoją, remdamiesi bendrovės „įsitikinimų sistema“, nes jie teigia, kad buvęs darbuotojas ištrynė duomenis po staigaus nutraukimo.
Tačiau startuolis teigė nežinantis, ar buvusio darbuotojo įrenginiuose, pavyzdžiui, daugiafaktoriaus autentifikavimas, buvo pakankamai apsaugos, kad būtų galima apriboti kenkėjišką trečiųjų šalių prieigą, pavyzdžiui, kenkėjišką programą.
Bendrovė patvirtino, kad po jo pasitraukimo nepašalino darbuotojo prieigos prie savo duomenų ir „GitHub“ sąskaitos.
„Darbuotojui, dirbantiems, nebuvo tinkamai tvarkomi, nes nebuvo visą darbo dieną“,-„TechCrunch“ patvirtino „Kiranapro“ vyriausiasis technologijų pareigūnas Sauravas Kumaras.
Bendrovė atkuria AWS sąskaitos ir „GitHub“ duomenis
Kartu su savo „GitHub“ išsaugotu kodu, „Kiranapro“ taip pat prarado prieigą prie savo „Amazon Web Services“ (AWS) paskyros, kurioje buvo jos klientų duomenys ir jų operacijų informacija.
„Ravindran“ sakė „TechCrunch“, kad „GitHub“ duomenys buvo atkurti gavus savo atsarginę kopiją iš vieno iš jų darbuotojų. „Startup“ taip pat atgavo prieigą prie savo AWS paskyros kartu su kliento duomenimis.
Tiek įkūrėjas, tiek CTO teigė, kad „AWS“ paskyrą saugojo daugiafaktorinis autentifikavimas, tačiau nė vienas negalėjo pasakyti, kaip buvo pasiekta sąskaita, nes niekas kitas neturėjo fizinės prieigos prie Ravindrano telefono, kuris sukuria daugiafaktoriaus kodą.
Nepaisant to, Ravindranas teigė, kad AWS debesyje saugomi klientų duomenys liko nepažeisti ir nebuvo prieinami jokių trečiosios šalių, taip pat jų nebuvo atsisiunčiami buvęs aptariamas darbuotojas.
„Nes jei taip yra, aš gausiu pranešimą el. Paštu ar bet kuo (sic)“, – sakė jis.
Vis dėlto Ravindranas pareiškė, kad startuoliai turi pakankamai įrodymų, kad galėtų pateikti oficialų skundą policijai, tačiau teigė, kad jo tyrimas tęsiamas.
„The Startup“ taip pat nevisiškai sumokėjo savo dabartiniams darbuotojams, patvirtino bendrovės įkūrėjas, netrukus po to, kai bendrovė surinko 100 milijonų Indijos rupijų (apie 1,2 milijono dolerių) sėklą, kuris, pasak Ravindrano, dar nebuvo visiškai laidus.
„Startup“ skaičiuoja „Blume Ventures“, nepopuliarias įmones ir „Turbostart“ tarp savo institucinių rizikos rėmėjų, taip pat olimpinių medalininkų PV Sindhu ir Bostono konsultavimo grupės generalinio direktoriaus Vikas Taneja tarp savo angelų investuotojų. Jame yra 15 darbuotojų, esančių Bengaluru ir Keraloje.
