پس از پاک شدن داده‌ها، هم‌بنیان‌گذار KiranaPro احتمال هک خارجی را رد نمی‌کند

داستان اخیر از دست رفتن داده‌های استارتاپ هندی تحویل خواربار KiranaPro، حفره‌های بیشتری نسبت به پنیر سوئیسی دارد؛ چرا که استارتاپ همچنان در مورد اینکه این حادثه نقض داخلی بوده یا هک خارجی، نامشخص است.

هفته گذشته، این استارتاپ مستقر در بنگالورو (Bengaluru) متوجه شد که نمی‌تواند به سرورهای پشتیبان (back-end servers) خود دسترسی پیدا کند و تمام داده‌های آن، از جمله کد برنامه (app code)، از گیت‌هاب (GitHub) پاک شده است. این استارتاپ روز جمعه یک کارمند سابق را مقصر این نقض دانست. با این حال، در مصاحبه‌ای، دیپاک راویندران (Deepak Ravindran)، هم‌بنیان‌گذار و مدیرعامل KiranaPro، اذعان کرد که شرکت پس از خروج کارمند، حساب وی را غیرفعال نکرده و نمی‌تواند احتمال سوءاستفاده مخرب بعدی از حساب وی را رد کند.

راویندران گفت: «اگر عمیق‌تر بررسی کنیم، باید یک تحقیق واقعی پزشکی قانونی انجام دهیم. ما در این مورد با هیئت مدیره، سرمایه‌گذاران صحبت خواهیم کرد و همچنین نظر رسمی مشاوران حقوقی خود را نیز در این باره دریافت خواهیم کرد.»

پیشتر در روز جمعه، راویندران در پستی در X (توئیتر سابق) مدعی شد که حادثه‌ای که بر داده‌های آن‌ها تأثیر گذاشته، یک نقض داخلی بوده است. او نوشت: «پس از بررسی دقیق، نتیجه می‌گیریم که این یک هک نبوده است. هیچ طرف خارجی به سیستم‌های سفارش‌گیری یا پرداخت ما نفوذ نکرده، آسیب‌پذیری‌ها را مورد سوءاستفاده قرار نداده یا پروتکل‌های امنیتی را دور نزده است.»

هم‌بنیان‌گذار همچنین روز پنجشنبه به صراحت اسکرین‌شاتی از پروفایل لینکدین (LinkedIn) یکی از کارمندان سابق KiranaPro را در X به اشتراک گذاشت و مدعی شد که وی کد استارتاپ را حذف کرده است. هم‌بنیان‌گذار در پست روز جمعه خود نوشت: «این یک نقض داده داخلی بود. به طور خاص، نتیجه اقدامات یک کارمند داخلی مورد اعتماد بود که دسترسی قانونی به سیستم‌های ما داشت.» وی افزود: «این فرد عمداً لاگ‌های حیاتی سرور را در حین آزمایش و/یا ویرایش حذف کرده است؛ اقدامی که مستقیماً برخلاف سیاست‌ها، اصول ما و اعتمادی است که به تیم خود داریم.»

زمانی که پرسیده شد آیا KiranaPro می‌تواند رد کند که شخص ثالثی به طور مخرب به حساب کارمند سابق دسترسی پیدا کرده است، راویندران نتوانست این موضوع را رد کند.

او گفت: «ما باید یک بررسی کامل پزشکی قانونی در شرکت انجام دهیم. باید کل اسکن IP (نشانی اینترنتی) را انجام دهیم. باید بررسی کنیم که ردیابی‌ها کجا اتفاق افتاده‌اند. باید کامپیوترها، مک‌بوک‌ها و هر آنچه استفاده شده را بررسی کنیم. همه چیز باید انجام شود. سپس باید هزینه کنیم… به همین دلیل تصمیم گرفتیم این کار را نکنیم.»

پس مبنای ادعای راویندران چه بود؟ پاسخ گیت‌هاب بود که نسخه‌ای از آن را به اشتراک گذاشته است. این پاسخ شامل یک نام کاربری بود که راویندران گفت با کارمند سابق مرتبط است. راویندران گفت: «تمام آنچه ما داریم، ایمیل‌هایی است که از گیت‌هاب دریافت کرده‌ایم و بیان می‌کنند که [نام کاربری کارمند سابق] به عنوان یک فرد، کسی است که حساب را حذف کرده است. ما تحقیقات بیشتری انجام نداده‌ایم.»

KiranaPro که اواخر سال ۲۰۲۴ راه‌اندازی شد، به عنوان یک برنامه خریدار در شبکه باز تجارت دیجیتال (Open Network for Digital Commerce) دولت هند فعالیت می‌کند. این استارتاپ به بیش از ۵۵,۰۰۰ مشتری در ۵۰ شهر اجازه می‌دهد تا با استفاده از رابط کاربری مبتنی بر صدا، از مغازه‌های محلی و سوپرمارکت‌های نزدیک خود خواربار خریداری کنند. این شرکت همچنین از ورودی‌های زبان محلی، از جمله انگلیسی، هندی، مالایالام و تامیل پشتیبانی می‌کند.

راویندران اظهار داشت که آن‌ها تصمیم گرفتند کارمند سابق را بر اساس «سیستم اعتقادی» شرکت مقصر بدانند، زیرا ادعا می‌کنند کارمند سابق پس از اخراج ناگهانی خود، داده‌ها را حذف کرده است.

با این حال، استارتاپ اعلام کرد که اطلاعی ندارد آیا محافظت‌های کافی بر روی دستگاه‌های کارمند سابق، مانند احراز هویت چندعاملی (multi-factor authentication)، برای محدود کردن دسترسی شخص ثالث مخرب، مانند بدافزار، وجود داشته است.

شرکت تأیید کرد که پس از خروج کارمند، دسترسی وی به داده‌ها و حساب گیت‌هاب خود را حذف نکرده است. سوراو کومار (Saurav Kumar)، مدیر ارشد فناوری (CTO) KiranaPro، تأیید کرد: «روند خروج کارمندان به درستی مدیریت نمی‌شد زیرا بخش منابع انسانی (HR) تمام‌وقت نداشتیم.»

KiranaPro علاوه بر کد خود که در گیت‌هاب ذخیره شده بود، دسترسی به حساب آمازون وب سرویسز (Amazon Web Services - AWS) خود را نیز از دست داد که شامل داده‌های مشتریان و جزئیات تراکنش‌های آن‌ها بود.

راویندران گفت که داده‌های گیت‌هاب پس از گرفتن نسخه پشتیبان از یکی از کارمندان آن‌ها بازیابی شده است. استارتاپ همچنین دسترسی به حساب AWS خود همراه با داده‌های مشتریانش را بازیافت.

هم هم‌بنیان‌گذار و هم مدیر ارشد فناوری گفتند که حساب AWS توسط احراز هویت چندعاملی محافظت می‌شده، اما هیچ‌کدام نتوانستند بگویند چگونه به حساب دسترسی پیدا شده است، زیرا هیچ کس دیگری دسترسی فیزیکی به تلفن راویندران که کد چندعاملی را تولید می‌کند، نداشته است.

با این وجود، راویندران ادعا کرد که داده‌های مشتری ذخیره شده در فضای ابری AWS دست‌نخورده باقی مانده و توسط هیچ شخص ثالثی مورد دسترسی قرار نگرفته است، و همچنین توسط کارمند سابق مورد نظر دانلود نشده است.

او گفت: «زیرا اگر اینطور بود، اعلان آن را از طریق ایمیل یا هر چیز دیگری دریافت می‌کردم.»

با این حال، راویندران اظهار داشت که استارتاپ شواهد کافی برای ثبت شکایت رسمی در پلیس را دارد، اما گفت که تحقیقات آن در جریان است.

هم‌بنیان‌گذار شرکت تأیید کرد که استارتاپ هنوز حقوق کارمندان فعلی خود را به طور کامل پرداخت نکرده است؛ این موضوع کمی پس از آن رخ داد که شرکت یک دور تأمین سرمایه بذری (seed round) به مبلغ ۱۰۰ میلیون روپیه هند (حدود ۱.۲ میلیون دلار) جذب کرد که راویندران گفت هنوز به طور کامل واریز نشده است.

این استارتاپ سرمایه‌گذارانی نهادی مانند بلوم ونچرز (Blume Ventures)، آن‌پاپولار ونچرز (Unpopular Ventures) و توربو استارت (Turbostart) و همچنین سرمایه‌گذاران فرشته‌ای مانند PV سیندو (PV Sindhu) قهرمان المپیک و ویکاس تانجا (Vikas Taneja) مدیر عامل بوستون کانسالتینگ گروپ (Boston Consulting Group) را در میان حامیان خود دارد. این شرکت ۱۵ کارمند در بنگالورو و کرالا (Kerala) دارد.