بدء تشغيل البقالة الهندي Kiranapro الأخير فقدان البيانات تحتوي القصة على ثقوب أكثر من الجبن السويسري ، حيث لا يزال بدء التشغيل غير واضح ما إذا كان الحادث بمثابة خرق داخلي أو اختراق خارجي.

في الأسبوع الماضي ، اكتشف بدء التشغيل الذي يتخذ من بنغالورو مقراً له أنه لا يمكنه الوصول إلى خوادمها الخلفية وأن جميع بياناتها ، بما في ذلك رمز التطبيق الخاص بها ، قد تم حذفها من Github. ألقى بدء التشغيل يوم الجمعة باللوم على موظف سابق في الخرق. ومع ذلك ، في مقابلة ، كيرانابرو اعترف المؤسس المشارك والمدير التنفيذي ديباك رافيندران بأن الشركة لم تنشط حساب الموظف بعد أن غادروا الشركة ولا يمكنهم استبعاد إمكانية إساءة استخدام حسابهم الضارة اللاحقة.

وقال رافيندران لـ TechCrunch: “إذا تعمقنا ، يتعين علينا إجراء تحقيق حقيقي في الطب الشرعي. سنتحدث (حول) هذا مع مجلسنا ، والمستثمرين ، وسنحصل على رأي رسمي بشأن ذلك أيضًا مع مستشارينا القانونيين”.

في وقت سابق يوم الجمعة ، ادعى رافيندران في أ بعد على x أن الحادث الذي أثر على بياناته كان خرقًا داخليًا.

“بعد التحقيق الدقيق ، نستنتج أن هذا لم يكن اختراقًا. لم يخترق أي طرف خارجي أنظمة الطلبات أو الدفع ، أو نقاط الضعف المستغلة ، أو تجاوز بروتوكولات الأمان”.

شارك المؤسس المشارك أيضًا بشكل صريح في لقطة شاشة لملف تعريف LinkedIn لأحد موظفي Kiranapro السابقين يوم الخميس ، مدعيا أنهم حذفوا رمز بدء التشغيل. (لا يشارك TechCrunch رابط المنشور ، حيث لم تقدم بدء التشغيل بعد دليلًا ملموسًا يدعم موقعه.)

وكتب المؤسس المشارك في منصبه يوم الجمعة: “(ر) كان خرقه الداخلي للبيانات. على وجه التحديد ، كان نتيجة الإجراءات التي اتخذها موظف داخلي موثوق به يتمتع بوصول شرعي إلى أنظمتنا”. “حذف هذا الفرد عن عمد سجلات الخادم الحرجة أثناء اختبارها و/أو تحريرها ، وهو إجراء يتناسب مباشرة مع سياساتنا ومبادئنا والثقة التي نضعها في فريقنا.”

عندما سأل TechCrunch عما إذا كان بإمكان Kiranapro استبعاد ما إذا كان أي طرف ثالث قد تمكن من الوصول إلى حساب الموظف السابق ، لم يستطع Ravindran.

“يتعين علينا القيام بفحص الطب الشرعي الكامل على الشركة. علينا أن نقوم بإجراء فحص IP بأكمله. علينا أن ننظر إلى المكان الذي حدثت فيه المسارات. علينا أن نتحقق من أجهزة الكمبيوتر ، وماكتبن ، وأي شيء يتم استخدامه. كل شيء يجب القيام به. ثم علينا أن ننفق المال … لذلك ، لهذا السبب قررنا عدم ذلك” ، قال لـ TechCrunch.

ثم ما هو أساس ادعاء Ravindran؟ لقد كانت استجابة github ، نسخة شاركها مع TechCrunch.

وشملت الرد اسم مستخدم ، والذي قال رافيندران كان مرتبطًا بالموظف السابق.

وقال رافيندران لـ TechCrunch: “كل ما لدينا هو رسائل البريد الإلكتروني التي تلقيناها من Github ، قائلة إن (اسم المستخدم السابق للموظف) كفرد هو الذي حذف الحساب. لم نقم بالتحقيق أكثر”.

لم يكن حساب الموظف السابق خارج الخارجية أبدًا

تم إطلاق Kiranapro في أواخر عام 2024 ، ويعمل كتطبيق للمشتري على الشبكة المفتوحة للحكومة الهندية للتجارة الرقمية. تتيح بدء التشغيل أكثر من 55000 عميل في 50 مدينة لشراء محلات البقالة من متاجرهم المحلية ومحلات السوبر ماركت القريبة باستخدام واجهتها القائمة على الصوت. تدعم الشركة أيضًا مدخلات اللغة المحلية ، بما في ذلك اللغة الإنجليزية والهندية والمالايالامية والتاميل.

صرح Ravindran أنهم قرروا استدعاء الموظف السابق بناءً على “نظام الاعتقاد” للشركة ، حيث يزعمون أن الموظف السابق حذف البيانات بعد إنهاءه المفاجئ.

ومع ذلك ، قالت الشركة الناشئة إنها ليست على علم بما إذا كانت هناك حماية كافية على أجهزة الموظف السابق ، مثل مصادقة متعددة العوامل، لتقييد الوصول الخبيث من الطرف الثالث ، مثل البرامج الضارة.

أكدت الشركة أنها لم تزيل وصول الموظف إلى بياناته وحساب GitHub بعد مغادرته.

“لم يتم التعامل مع الموظف خارج الخارجية بشكل صحيح لأنه لم يكن هناك موارد البشرية بدوام كامل” ، أكد كبير مسؤولي التكنولوجيا في كيرانابرو ، سوراف كومار ، على TechCrunch.

تستعيد الشركة حساب AWS وبيثب

إلى جانب الكود الذي تم حفظه في Github ، فقدت Kiranapro أيضًا الوصول إلى حساب Amazon Web Services (AWS) ، والتي تضمنت بيانات العميل وتفاصيل المعاملات الخاصة بها.

أخبر Ravindran TechCrunch أن بيانات GitHub قد تم استعادةها بعد الحصول على نسخ احتياطي من أحد موظفيها. استعادت بدء التشغيل أيضًا الوصول إلى حساب AWS الخاص بها إلى جانب بيانات العميل الخاصة بها.

قال كل من المؤسس المشارك و CTO إن حساب AWS كان محميًا من خلال المصادقة متعددة العوامل ، لكن لا يمكن أن يقول كيف تم الوصول إلى الحساب ، حيث لم يكن لدى أي شخص آخر إمكانية الوصول المادي إلى هاتف Ravindran ، الذي يولد رمز العوامل المتعددة.

ومع ذلك ، ادعى Ravindran أن بيانات العميل المخزنة في سحابة AWS ظلت سليمة ولم يتم الوصول إليها من قبل أي أطراف ثالثة ، ولم يتم تنزيلها من قبل الموظف السابق المعني.

وقال “لأنه إذا كان هذا هو الحال ، فسوف أحصل على إشعاره عبر البريد الإلكتروني أو أي شيء (كذا)”.

ومع ذلك ، صرح Ravindran أن الناشئة لديها أدلة كافية لتقديم شكوى رسمية إلى الشرطة ، لكنها قالت إن تحقيقها مستمر.

أكد المؤسس المشارك للشركة ، أنه بعد فترة وجيزة من جمع الشركة جولة بذرة قدرها 100 مليون روبية هندية بقيمة 100 مليون روبية هندية (حوالي 1.2 مليون دولار) ، بعد فترة وجيزة من جمع الشركة جولة بذرة قدرها 100 مليون روبية هندية (حوالي 1.2 مليون دولار) ، والتي قال رافيندران لم يكن سلكيًا تمامًا.

تعتبر شركة بدء التشغيل Blume Ventures ، والمشاريع غير الشعبية ، و Turbostart بين مؤيديها للمشروع المؤسسي ، بالإضافة إلى الميدالية الأولمبية PV Sindhu و Boston Consulting Group Vikas Taneja من بين مستثمري الملاك. لديها 15 موظفا في بنغالورو وكيرالا.