La startup de entrega de comestibles de la India, la flamante historia de pérdida de datos de Kiranapro, tiene más agujeros que el pinrel suizo, ya que la inicio sigue sin estar claro si el incidente fue una violación interna o un truco forastero.

La semana pasada, la startup con sede en Bengaluru descubrió que no podía conseguir a sus servidores de fondo y que todos sus datos, incluido su código de aplicación, habían sido eliminados de GitHub. La startup del viernes culpó a un ex empleado por la violación. Sin retención, en una entrevista, Kiranapro El cofundador y CEO Deepak Ravindran admitió que la compañía no había desactivado la cuenta del empleado luego de que abandonaron la compañía y no puede descartar la posibilidad de un mal uso taimado posterior de su cuenta.

“Si profundizamos, tenemos que hacer una investigación forense vivo. Vamos a cuchichear (sobre) esto con nuestra grupo, los inversores, y vamos a obtener una opinión formal al respecto todavía con nuestros asesores legales”, dijo Ravindran a TechCrunch.

Más temprano el viernes, Ravindran reclamó en un Editar en x que el incidente que afectó sus datos fue una violación interna.

“Posteriormente de una cuidadosa investigación, concluimos que esto no era un truco. Ninguna parte externa penetró en nuestros sistemas de pedidos o de suscripción, vulnerabilidades explotadas o protocolos de seguridad omitidos”, escribió.

El cofundador todavía compartió explícitamente una captura de pantalla de un perfil de LinkedIn de uno de los ex empleados de Kiranapro en X el jueves, alegando que habían eliminado el código de la startup. (TechCrunch no comparte el enlace de la publicación, ya que la startup aún no ha ofrecido una prueba concreta que respalde su posición).

“(T) La suya fue una violación de datos internos. Específicamente, fue el resultado de las acciones tomadas por un empleado interno de confianza que tenía camino cierto a nuestros sistemas”, escribió el cofundador en su publicación el viernes. “Este individuo eliminó intencionalmente los registros de servidores críticos mientras estaba siendo probado y/o editado, una movimiento que va directamente contra nuestras políticas, nuestros principios y la confianza que ponemos en nuestro equipo”.

Cuando TechCrunch preguntó si Kiranapro podía descartar si algún tercero había obtenido camino a la cuenta del ex empleado, Ravindran no pudo.

“Tenemos que hacer un cheque forense completo en la empresa. Tenemos que hacer toda la exploración de IP. Tenemos que mirar dónde ocurren las pistas. Tenemos que consultar las computadoras, MacBooks y lo que sea que se use. Todo tiene que hacerse. Entonces tenemos que pagar patrimonio … Entonces, es por eso que decidimos no hacerlo”, dijo a TechCrunch.

Entonces, ¿cuál fue la saco de la reproche de Ravindran? Fue una respuesta de GitHub, una copia de la cual compartió con TechCrunch.

La respuesta incluyó un nombre de sucesor, que Ravindran dijo que estaba asociado con el ex empleado.

“Todo lo que tenemos son los correos electrónicos que recibimos de Github, afirmando que (el nombre de sucesor del ex empleado) como individuo es el que eliminó la cuenta. No hemos realizado la investigación más”, dijo Ravindran a TechCrunch.

La cuenta del ex empleado nunca estaba fuera de borde

Osado a fines de 2024, Kiranapro opera como una aplicación de comprador en la red abierta del gobierno indio para el comercio digital. La startup permite que más de 55,000 clientes en 50 ciudades compren comestibles en sus tiendas locales y supermercados cercanos utilizando su interfaz basada en la voz. La compañía todavía apoya los aportes de idiomas locales, incluidos inglés, hindi, malayalam y tamil.

Ravindran declaró que decidieron tocar al ex empleado en función del “sistema de creencias” de la compañía, ya que afirman que el ex empleado eliminó los datos luego de su terminación repentina.

Sin retención, la startup dijo que no es consciente de si hubo suficientes protecciones en los dispositivos del ex empleado, como la autenticación multifactor, para restringir el camino taimado de terceros, como el malware.

La compañía confirmó que no eliminó el camino del empleado a sus datos y la cuenta de GitHub luego de su partida.

“El empleado fuera de borde no se manejaba correctamente porque no había posibles humanos a tiempo completo”, confirmó el director de tecnología de Kiranapro, Saurav Kumar, a TechCrunch.

La empresa restaura la cuenta de AWS y los datos de GitHub

Cercano con su código guardado en GitHub, Kiranapro todavía perdió camino a su cuenta de Amazon Web Services (AWS), que incluía los datos de sus clientes y sus detalles de transacción.

Ravindran le dijo a TechCrunch que los datos de GitHub fueron restaurados luego de obtener su copia de seguridad de uno de sus empleados. La startup todavía recuperó el camino a su cuenta AWS contiguo con los datos de sus clientes.

Tanto el cofundador como el CTO dijeron que la cuenta de AWS estaba protegida por la autenticación multifactor, pero ningún pudo afirmar cómo se accedió a la cuenta, ya que nadie más tenía camino físico al teléfono de Ravindran, lo que genera el código multifactor.

No obstante, Ravindran afirmó que los datos de los clientes almacenados en la nubarrón de AWS permanecieron intactos y no fue accedido por terceros, ni fue descargado por el ex empleado en cuestión.

“Porque si ese es el caso, recibiré su notificación por correo electrónico o cualquier cosa (sic)”, dijo.

Dicho esto, Ravindran declaró que la startup tiene suficiente evidencia para presentar una queja formal delante la policía, pero dijo que su investigación está en curso.

La startup siquiera ha pagado completamente a sus empleados actuales, confirmó el cofundador de la compañía, poco luego de que la compañía recaudó una ronda semilla de ₹ 100 millones de rupias indias (cerca de de $ 1.2 millones), que Ravindran dijo que aún no se ha conectado por completo.

La startup cuenta Blume Ventures, Impopular Ventures y Turbostart entre sus patrocinadores de empresas institucionales, así como el medallista descarado PV Sindhu y el director regente de Boston Consulting Group, Vikas Taneja, entre sus inversores ángeles. Tiene 15 empleados ubicados en Bangalore y Kerala.