A recente história de perda de dados da startup de entrega de supermercados indianos tem mais buracos do que queijo suíço, pois a startup ainda não está clara se o incidente foi uma violação interna ou um hack externo.
Na semana passada, a startup baseada em Bengaluru descobriu que não podia acessar seus servidores de back-end e que todos os seus dados, incluindo seu código de aplicativo, haviam sido excluídos do GitHub. A startup na sexta -feira culpou um ex -funcionário pela violação. No entanto, em uma entrevista, o co-fundador e CEO da Kiranapro Deepak Ravindran admitiu que a empresa não havia desativado a conta do funcionário depois que eles deixaram a empresa e não podem descartar a possibilidade de uso indevido malicioso de sua conta.
“Se formos mais profundos, temos que fazer uma investigação forense real. Vamos conversar sobre isso com nosso conselho, os investidores, e teremos uma opinião formal sobre isso também com nossos consultores jurídicos”, disse Ravindran à TechCrunch.
No início da sexta -feira, Ravindran afirmou em um post em X que o incidente que afetou seus dados foi uma violação interna.
“Após uma investigação cuidadosa, concluímos que isso não era um hack. Nenhuma parte externa penetrou em nossos sistemas de pedidos ou pagamentos, explorou vulnerabilidades ou ignorou protocolos de segurança”, escreveu ele.
O co-fundador também compartilhou explicitamente uma captura de tela de um perfil do LinkedIn de um dos ex-funcionários de Kiranapro no X na quinta-feira, alegando que eles haviam excluído o código da startup. (O TechCrunch não está compartilhando o link da postagem, pois a startup ainda não oferece a prova concreta que apoia sua posição.)
“(T) ele foi uma violação de dados internos. Especificamente, foi o resultado de ações tomadas por um funcionário interno de confiança que tinha acesso legítimo aos nossos sistemas”, escreveu o co-fundador em seu cargo na sexta-feira. “Esse indivíduo excluiu intencionalmente os registros críticos de servidores enquanto eles estavam sendo testados e/ou editados, uma ação que vai diretamente contra nossas políticas, nossos princípios e a confiança que colocamos em nossa equipe”.
Quando o TechCrunch perguntou se Kiranapro poderia descartar se terceiros haviam obtido acesso maliciosamente à conta do ex -funcionário, Ravindran não pôde.
“Temos que fazer uma verificação forense completa da empresa. Temos que fazer toda a varredura de IP. Temos que olhar para onde as faixas aconteceram. Temos que verificar os computadores, os MacBooks e o que quer que seja usado. Tudo deve ser feito. Então temos que gastar dinheiro … então, por isso decidimos não”, disse ele aos Techcrunch.
Então, qual foi a base da alegação de Ravindran? Foi uma resposta do Github, cuja cópia ele compartilhou com o TechCrunch.
A resposta incluiu um nome de usuário, que Ravindran disse estar associado ao ex -funcionário.
“Tudo o que temos são os e -mails que recebemos do Github, afirmando que (o nome de usuário do ex -funcionário) como indivíduo é quem excluiu a conta. Não fizemos ainda mais a investigação”, disse Ravindran à TechCrunch.
A conta do ex -funcionário nunca foi externa
Lançado no final de 2024, a Kiranapro opera como um aplicativo de comprador na rede aberta do governo indiano para o comércio digital. A startup permite que mais de 55.000 clientes em 50 cidades adquiram mantimentos de suas lojas locais e supermercados próximos usando sua interface baseada em voz. A empresa também suporta insumos do idioma local, incluindo inglês, hindi, malaiala e tâmil.
Ravindran afirmou que eles decidiram chamar o ex -funcionário com base no “sistema de crenças” da empresa, ao reivindicar que o ex -funcionário excluiu os dados após seu término repentino.
No entanto, a startup disse que não está ciente de que havia proteções suficientes nos dispositivos do ex-funcionário, como a autenticação de vários fatores, para restringir o acesso malicioso de terceiros, como malware.
A empresa confirmou que não removeu o acesso do funcionário aos seus dados e conta do GitHub após sua partida.
“O offboard dos funcionários não estava sendo tratado corretamente porque não havia RH em tempo integral”, confirmou o diretor de tecnologia de Kiranapro, Saurav Kumar, ao TechCrunch.
A empresa restaura a conta da AWS e os dados do GitHub
Juntamente com seu código salvo no Github, a Kiranapro também perdeu o acesso à sua conta da Amazon Web Services (AWS), que incluiu seus dados de clientes e detalhes da transação.
Ravindran disse ao TechCrunch que os dados do Github foram restaurados depois de obter o backup de um de seus funcionários. A startup também recuperou o acesso à sua conta da AWS, juntamente com os dados do cliente.
Tanto o co-fundador quanto o CTO disseram que a conta da AWS estava protegida pela autenticação multifatorial, mas nenhum deles poderia dizer como a conta foi acessada, pois ninguém mais tinha acesso físico ao telefone de Ravindran, que gera o código de vários fatores.
No entanto, Ravindran alegou que os dados do cliente armazenados na nuvem da AWS permaneceram intactos e não foram acessados por terceiros, nem foi baixado pelo ex -funcionário em questão.
“Porque se for esse o caso, receberei sua notificação por e -mail ou algo assim (sic)”, disse ele.
Dito isto, Ravindran afirmou que a startup tem evidências suficientes para registrar uma queixa formal com a polícia, mas disse que sua investigação está em andamento.
A startup também não pagou totalmente a seus funcionários atuais, confirmou o co-fundador da empresa, logo após a empresa levantar uma rodada de sementes de ₹ 100 milhões de rúpias indianas (cerca de US $ 1,2 milhão), que Ravindran disse que ainda não foi totalmente conectado.
A startup conta com empreendimentos, empreendimentos impopulares e turbostart entre seus apoiadores institucionais, bem como o medalhista olímpico PV Sindhu e o diretor -gerente do grupo de consultoria de Boston, Vikas Taneja, entre seus investidores anjos. Possui 15 funcionários localizados em Bengaluru e Kerala.