L’histoire récente de la perte de données de la starte d’épicerie indienne Kiranapro a plus de trous que le fromage suisse, car la startup reste claire si l’incident était une brèche interne ou un hack externe.
La semaine dernière, la startup basée à Bengaluru a découvert qu’elle ne pouvait pas accéder à ses serveurs back-end et que toutes ses données, y compris son code d’application, avaient été supprimées de GitHub. Vendredi, la startup a blâmé un ancien employé pour la violation. Cependant, dans une interview, le co-fondateur et PDG de Kiranapro, Deepak Ravindran, a concédé que la société n’avait pas désactivé le compte de l’employé après avoir quitté l’entreprise et ne peut pas exclure la possibilité d’une mauvaise utilisation malveillante de son compte.
«Si nous allons plus loin, nous devons faire une véritable enquête médico-légale. Nous allons parler [about] Ceci avec notre conseil d’administration, les investisseurs et nous allons avoir une opinion officielle à ce sujet avec nos conseillers juridiques », a déclaré Ravindran à TechCrunch.
Plus tôt vendredi, Ravindran a affirmé dans un poste sur X que l’incident qui avait affecté ses données était une violation interne.
«Après une enquête minutieuse, nous concluons que ce n’était pas un piratage. Aucune partie externe n’a pénétré nos systèmes de commande ou de paiement, exploité des vulnérabilités ou contourné les protocoles de sécurité», a-t-il écrit.
Le co-fondateur a également explicitement partagé une capture d’écran d’un profil LinkedIn de l’un des anciens employés de Kiranapro sur X jeudi, alléguant qu’ils avaient supprimé le code de la startup. (TechCrunch ne partage pas le lien du Post, car la startup n’a pas encore offert de preuve concrète soutenant sa position.)
“[T]Il s’agissait d’une violation de données interne. Plus précisément, il est le résultat de mesures prises par un employé interne de confiance qui avait un accès légitime à nos systèmes “, a écrit le cofondateur dans son article vendredi.” Cette personne a intentionnellement supprimé les journaux de serveurs critiques pendant qu’ils étaient testés et / ou édités, une action qui va directement contre nos politiques, nos principes et la fiducie que nous mettons dans notre équipe. “
Lorsque TechCrunch a demandé si Kiranapro pouvait exclure si un tiers avait eu de manière malveillante accès au compte de l’ancien employé, Ravindran ne pouvait pas.
“Nous devons faire un contrôle médico-légal complet de l’entreprise. Nous devons faire l’intégralité de la numérisation de l’IP. Nous devons regarder où les pistes se sont produites. Nous devons vérifier les ordinateurs, les MacBooks, et tout ce qui est utilisé. Tout doit être fait. Ensuite, nous devons dépenser de l’argent … donc, c’est pourquoi nous avons décidé de ne pas le faire”, a-t-il déclaré à TechCrunch.
Alors, quelle a été la base de l’allégation de Ravindran? C’était une réponse GitHub, une copie dont il a partagé avec TechCrunch.
La réponse comprenait un nom d’utilisateur, qui, selon Ravindran, était associé à l’ancien employé.
«Tout ce que nous avons, c’est les e-mails que nous avons reçus de Github, déclarant que [the former employee’s username] En tant qu’individu, c’est celui qui a supprimé le compte. Nous n’avons pas fait l’enquête plus avant », a déclaré Ravindran à TechCrunch.
Le compte de l’ancien employé n’a jamais été hors-bord
Lancé fin 2024, Kiranapro fonctionne comme une application d’acheteur sur le réseau ouvert du gouvernement indien pour le commerce numérique. La startup permet à plus de 55 000 clients dans 50 villes d’acheter des produits d’épicerie dans leurs magasins locaux et les supermarchés à proximité en utilisant son interface vocale. La société soutient également les intrants de langue locale, notamment l’anglais, l’hindi, le malayalam et le tamoul.
Ravindran a déclaré avoir décidé d’appeler l’ancien employé en fonction du «système de croyances» de l’entreprise, car ils affirment que l’ancien employé a supprimé les données après leur licenciement soudain.
Cependant, la startup a déclaré qu’il ne savait pas s’il y avait suffisamment de protections sur les appareils de l’ancien employé, tels que l’authentification multi-facteurs, pour restreindre l’accès à un tiers malveillant, comme les logiciels malveillants.
La société a confirmé qu’elle n’avait pas supprimé l’accès de l’employé à ses données et à son compte GitHub après son départ.
«Le hors-bord des employés n’était pas géré correctement parce qu’il n’y avait pas de RH à temps plein», a confirmé le directeur de la technologie de Kiranapro, Saurav Kumar, à TechCrunch.
L’entreprise restaure les données AWS et GitHub
Parallèlement à son code enregistré dans GitHub, Kiranapro a également perdu accès à son compte Amazon Web Services (AWS), qui comprenait ses données clients et leurs détails de transaction.
Ravindran a déclaré à TechCrunch que les données GitHub avaient été restaurées après avoir obtenu sa sauvegarde de l’un de leurs employés. La startup a également retrouvé l’accès à son compte AWS ainsi que ses données clients.
Le co-fondateur et le CTO ont déclaré que le compte AWS avait été protégé par l’authentification multi-facteurs, mais ni l’un ni l’autre ne pouvait dire comment le compte était accessible, car personne d’autre n’avait un accès physique au téléphone de Ravindran, qui génère le code multi-facteurs.
Néanmoins, Ravindran a affirmé que les données clients stockées dans le cloud AWS étaient restées intactes et n’étaient pas accessibles par des tiers, ni téléchargés par l’ancien employé en question.
«Parce que si tel est le cas, j’obtiendrai sa notification par e-mail ou quoi que ce soit [sic]», A-t-il dit.
Cela dit, Ravindran a déclaré que la startup comportait suffisamment de preuves pour déposer une plainte officielle auprès de la police, mais a déclaré que son enquête était en cours.
La startup n’a pas non plus entièrement payé ses employés actuels, a confirmé le co-fondateur de l’entreprise, peu de temps après que la société a levé une série de semences de 100 millions de roupies indiennes (environ 1,2 million de dollars), qui, selon Ravindran, n’a pas encore été entièrement câblée.
La startup compte Blume Ventures, Umpular Ventures et Turbostart parmi ses bailleurs de fonds institutionnels, ainsi que le médaillé olympique PV Sindhu et le directeur général du groupe de conseil de Boston, Vikas Taneja, parmi ses investisseurs providentiels. Il compte 15 employés situés à Bengaluru et au Kerala.
