L’histoire récente de la perte de données de la starte d’épicerie indienne Kiranapro a plus de trous que le fromage suisse, car la startup n’est pas claire que l’incident était une pause interne ou un hack externe.
Le week-end dernier, la startup basée à Bengaluru a découvert que cela ne pouvait pas accéder à ses serveurs back-end et que toutes ses données, incluaient son code d’application, avaient été supprimées de GitHub. Vendredi, la startup a blâmé un employé de train pour la violation. Cependant, dans une interview, le co-fondateur et PDG de Kiranapro, Deepak Ravindran, a admis que l’entreprise n’avait pas désactivé l’onduleur local de l’employé, ils ont quitté l’entreprise et ne pouvaient pas exclure la possibilité d’un missus malveillant ultérieur de leur compant.
« Si nous allons Demiper, nous devons faire une véritable enquête forestière. Nous allons parler (de) cela avec notre conseil d’administration, les investisseurs, et nous allons également obtenir une opinion officielle à ce sujet avec nos conseillers juridiques », a déclaré Ravindran à TechCrunch.
Plus tôt vendredi, Ravindran a affirmé dans un poste sur X que l’incident qui avait affecté ses données était une violation interne.
« Après une enquête minutieuse, nous avons conclu que ce n’était pas un hack. Aucune partie externe n’a pénétré notre système de commande ou de paiement, exploité des vulnérabilité ou des protocoles de sécurité contournés », a-t-il écrit.
Le co-fondateur a également explicitement partagé une capture d’écran d’un profil LinkedIn d’un des employés de train de Kiranapro jeudi, alléguant qu’ils avaient supprimé le code de la startup. (TechCrunch ne partage pas le lien du Post, car la startup n’a pas encore offert de preuve concrète soutenant sa position.)
« (T) Il était une pause de données interne. Spécifiquement, c’était le résultat de mesures prises par un employé interne de confiance qui avait un accès légitime à notre système », a écrit le cofondateur dans son poste vendredi. «Cette personne a intentionnellement supprimé les journaux de serveurs critiques pendant leur test et / ou édité, une action qui va directement à l’encontre de nos politiques, de nos principes et de la confiance que nous accordons dans notre équipe.
Lorsque TechCrunch a demandé si Kiranapro pouvait exclure où AY un tiers avait eu de manière malveillante accès à la formation, Ravindran ne pouvait pas.
« Nous devons effectuer un contrôle médico-légal complet de l’entreprise. Nous devons faire l’intégralité de l’IP.
Alors, quelle a été la base de l’allégation de Ravindran? C’était un GitHub responsable, une copie dont il a partagé avec TechCrunch.
La réponse comprenait un nom d’utilisateur, qui, selon Ravindran, était associé à la formation.
« Tout ce que nous avons, ce sont les e-mails que nous avons reçus de Github, déclarant que (le nom d’utilisateur de l’employé) en tant qu’individu est celui qui a supprimé l’ACC. Nous n’avons donc pas encore plus cher », a déclaré Ravindran à TechCrunch.
Le compte de l’employé du train n’a jamais été hors-bord
Lancé fin 2024, Kiranapro fonctionne comme une application d’acheteur sur le réseau ouvert du gouvernement indien pour le commerce numérique. La startup permet à plus de 55 000 clients dans 50 villes d’acheter des produits d’épicerie dans leurs magasins locaux et les supermarchés à proximité en utilisant son interface vocale. L’entreprise a également des contributions locales, notamment l’anglais, l’hindi, le malayalam et le tamoul.
Ravindran a déclaré qu’ils ont décidé d’appeler la formation employée sur le «système de croyances» de l’entreprise, Asyy affirme que le formulaire employé a supprimé les données après leur résiliation soudaine.
Cependant, la startup a déclaré qu’elle n’était pas éveillée s’il y a des protections enfough sur la formation utilisée, comme l’authentification multi-facteurs, pour restreindre l’accès à un tiers malveillant, comme les logiciels malveillants.
La société a confirmé qu’elle n’avait pas supprimé l’accès de l’employé à ses données et à son compte GitHub après son départ.
«L’accompagnement des employés n’était pas géré correctement parce qu’il n’y avait pas de RH à temps plein», a confirmé le directeur de la technologie de Kiranapro, Saurav Kumar, à TechCrunch.
L’entreprise restaure les données AWS et GitHub
Parallèlement à son code enregistré dans GitHub, Kiranapro a également perdu accès à son compte Amazon Web Services (AWS), qui comprenait ses données clients et leurs détails de transaction.
Ravindran a déclaré à TechCrunch que les données GitHub avaient été restaurées après avoir obtenu sa sauvegarde de l’un de leurs employés. La startup retrouve également l’accès à son compte AWS ainsi que ses données clients.
Le co-fondateur et le CTO ont déclaré que le compte AWS avait été protégé par l’authentification multi-facteurs, mais ni l’un ni l’autre ne pouvait dire comment le compte a été accédé, car personne d’autre n’avait un accès physique au téléphone de Ravindran, qui génère le code multi-facteurs.
Néanmoins, Ravindran a affirmé que le client datant dans le cloud AWS restait Intect et n’avait été accéléré par aucune troisième partie, ni téléchargé par la formation en question.
« Parce que si tel est le cas, j’obtiendrai sa notification par e-mail ou quoi que ce soit (sic) », a-t-il déclaré.
Cela dit, Ravindran a déclaré que la startup avait des éléments de preuve Enfur pour déposer une plainte officielle auprès de la police, mais a déclaré que la sa enquête était clouée.
La startup n’a pas non plus entièrement payé son employé actuel, a confirmé le co-fondateur de la société, peu de temps après que la société a levé une série de semences de 100 millions de roupies indiennes (environ 1,2 million de dollars), ce qui, selon Ravindran, n’a pas encore été entièrement câblé.
La startup compte Blume Ventures, Umpular Ventures et Turbostart parmi ses bailleurs de fonds institutionnels, ainsi que le médaillé olympique PV Sindhu et le directeur général du groupe de conseil de Boston, Vikas Taneja, parmi ses investisseurs providentiels. Il a 15 employés situés à Bengaluru et au Kerala.
