Delve – Dịch vụ tuân thủ giả mạo

 (deepdelver.substack.com)
1 điểm bởi GN⁺ 2026-03-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nền tảng Delve bị phanh phui là đang vận hành như một “hệ thống khiến mọi thứ trông như đã tuân thủ” dù không có các biện pháp kiểm soát bảo mật thực sự
  • Kết quả điều tra nội bộ và phân tích các bảng tính bị rò rỉ cho thấy báo cáo kiểm toán, thử nghiệm và kết luận đã được Delve tự động tạo ra, còn các tổ chức chứng nhận có trụ sở tại Ấn Độ chỉ ký xác nhận một cách hình thức
  • Khách hàng đã sử dụng bằng chứng giả, biên bản họp giả, tài liệu chính sách được tự động điền sẵn để thể hiện như thể đã đạt chứng nhận SOC 2, ISO 27001, HIPAA và GDPR
  • Delve quảng bá tự động hóa dựa trên AI, nhưng trên thực tế chỉ là một hệ thống biểu mẫu tập trung vào nhập liệu thủ công và tải ảnh chụp màn hình lên, và phần lớn tính năng “tích hợp” đều không hoạt động
  • Vì vậy, hàng trăm công ty đang công bố ra bên ngoài một trạng thái bảo mật sai sự thật, đồng thời đối mặt với rủi ro vi phạm HIPAA, GDPR và trách nhiệm pháp lý

Các vấn đề mang tính cấu trúc của Delve và những tiết lộ then chốt

  • Delve được quảng bá là nền tảng tự động hóa tuân thủ cho SOC 2, ISO 27001, HIPAA, GDPR..., nhưng thực tế lại vi phạm nguyên tắc độc lập trong kiểm toán và tự mình viết kết luận kiểm toán
    • Trong bản nháp báo cáo kiểm toán đã có sẵn kết luận và quy trình thử nghiệm do Delve soạn, khách hàng chỉ việc điền tên, chữ ký và sơ đồ
    • Tất cả báo cáo đều dùng cùng cấu trúc câu và cùng lỗi chính tả; hơn 99% trong số 575 báo cáo chứa cùng một đoạn văn bản
  • Một bảng tính Google bị rò rỉ có chứa liên kết đến báo cáo kiểm toán của hàng trăm khách hàng, làm lộ thông tin nhạy cảm như chữ ký cá nhân và sơ đồ hệ thống
    • CEO của Delve tuyên bố đó là “email giả do AI tạo ra”, nhưng các tài liệu thật đã được xác nhận trong kho lưu trữ công khai

Vi phạm tính độc lập trong kiểm toán và hệ thống kiểm toán giả

  • Delve trực tiếp đóng vai trò kiểm toán viên, vi phạm quy định của AICPA
    • Kết luận kiểm toán được soạn sẵn từ trước, khiến việc xác minh độc lập là bất khả thi
    • Các tổ chức chứng nhận có trụ sở tại Ấn Độ như Accorp, Gradient, BQC, Glocert đã ký vào báo cáo thông qua vỏ bọc pháp nhân tại Mỹ
    • Một số báo cáo còn có số giấy phép kiểm toán sai, cho thấy dấu hiệu sao chép từ cùng một mẫu
  • Jayshree Dutta, người được ghi là phụ trách kiểm toán, không phải là CPA tại Mỹ mà được xác nhận là thuộc công ty Ấn Độ CyberTryZub và BQC

Tính giả tạo của sản phẩm và quy trình

  • “Tự động hóa AI” của Delve thực chất là hệ thống biểu mẫu thủ công gần như không có chức năng AI thật sự
    • Phần lớn các “tích hợp (integration)” chỉ yêu cầu tải ảnh chụp màn hình lên mà không có quy trình xác thực
    • Chính sách, đánh giá rủi ro, mô phỏng bảo mật... đều được cấu thành từ các mẫu có giá trị mặc định điền sẵn, có thể hoàn tất chỉ bằng vài cú nhấp chuột
  • Mô-đun Pathways được Delve tuyên bố là tự phát triển, nhưng được xác nhận là đã sử dụng trái phép mã nguồn mở SimStudio
  • Khách hàng buộc phải chấp nhận biên bản họp giả, kết quả kiểm thử bảo mật giả và tài liệu chính sách giả; nếu từ chối, họ sẽ phải tự làm thủ công hầu hết công việc

Báo cáo giả và thao túng trang Trust Page

  • Trust Page của Delve đánh dấu là “hoàn tất” các biện pháp kiểm soát bảo mật thực tế chưa từng được triển khai
    • Trong số 322 khách hàng SOC 2, có 321 khách hàng dùng cùng một bộ 51 hạng mục kiểm soát
    • Các biện pháp bảo mật không hề tồn tại như MDM, phát hiện xâm nhập, sao lưu, xóa dữ liệu... được tự động hiển thị là đã có
  • Báo cáo SOC 2 Type II nêu rõ đã đáp ứng mọi tiêu chí như “security, availability, confidentiality, privacy”, nhưng trên thực tế chỉ thử nghiệm duy nhất một hạng mục về bảo mật
    • Tất cả báo cáo đều kết thúc bằng cùng một câu: “No exceptions noted”

Rủi ro pháp lý và quản lý

  • Quy trình giả mạo của Delve khiến khách hàng rơi vào tình trạng vi phạm GDPR và HIPAA
    • Vi phạm HIPAA có thể dẫn đến truy cứu hình sự; vi phạm GDPR có thể bị phạt tối đa 4% doanh thu toàn cầu
    • Trong số đó có cả các công ty xử lý dữ liệu liên quan đến y tế và quốc phòng, tạo ra rủi ro ở cấp độ an ninh quốc gia
  • Khách hàng của Delve đã vô tình nộp các báo cáo chứng nhận giả ra bên ngoài, và có thể phải chịu trách nhiệm theo hợp đồng cũng như về mặt danh tiếng

Kết luận và khuyến nghị

  • Delve là một ví dụ điển hình về việc công nghiệp hóa mô hình “tự động hóa tuân thủ giả mạo”, đẩy khách hàng vào rủi ro pháp lý
  • Các khách hàng hiện tại nên ghi lại toàn bộ trao đổi với Delve bằng văn bản và cần đặt câu hỏi rõ ràng về việc tạo báo cáo kiểm toán, tính độc lập của kiểm toán viên và phạm vi rò rỉ dữ liệu
  • “Quy trình niềm tin dựa trên AI” mà Delve tuyên bố thực chất chỉ là hệ thống tạo tài liệu mang tính hình thức, không có chức năng xác minh bảo mật thực chất
  • Vụ việc này cho thấy sự sụp đổ niềm tin vào thị trường tự động hóa tuân thủ, đồng thời một lần nữa nhấn mạnh tầm quan trọng của kiểm toán độc lập và các biện pháp kiểm soát bảo mật thực chất

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-03-21
Ý kiến Hacker News

  • Nhiều startup có đặc trưng là di chuyển nhanh với đội ngũ nhỏ
    Nếu làm ra sản phẩm tốt thì doanh nghiệp lớn sẽ muốn đăng ký sử dụng, nhưng rồi lại cần qua quy trình chứng nhận
    Checklist thì hữu ích, nhưng lại bị thiết kế quá mức theo kiểu quan liêu châu Âu
    Người ta hỏi những câu như “Sổ đăng ký rủi ro của một công ty 7 người ở đâu?”, khiến các nhóm phải vùi đầu vào giấy tờ thay vì công việc chính
    Kết cục là tạo ra những tài liệu thực tế chẳng ai đọc, bịa ra những quy trình vốn không tồn tại, và dịch một công ty linh hoạt sang ngôn ngữ của tập đoàn khổng lồ
    Cần có những tiêu chuẩn thực dụng và tương xứng phù hợp với các nhóm nhỏ

    • Hoàn toàn đồng cảm. Nhưng tôi lại nghĩ nếu doanh nghiệp lớn áp dụng những tiêu chuẩn này thông minh hơn thì chẳng phải họ sẽ có lợi thế cạnh tranh sao?
      Công ty tôi thuộc Fortune 500, nhưng quy trình mua sắm quá phức tạp nên rất khó triển khai SaaS
      Trong khi đó đối thủ có quy trình linh hoạt hơn nên nhanh chóng chọn được vendor tốt. Kiểu khác biệt này cuối cùng sẽ biến thành năng lực cạnh tranh
    • Tôi thấy CIS Controls v8.1 khá thực tế và thực sự có ích cho bảo mật
      Level 1 là nền tảng tốt, còn Level 2 có thể áp dụng chọn lọc tùy theo rủi ro kinh doanh
      CIS Benchmarks cũng đáng để xem. Đây là tập hợp các best practice cho bảo mật cloud, SaaS và OS
    • Nếu đội ngũ chưa sẵn sàng thì không nên cố ép mình vượt qua thẩm định (due diligence)
    • Mục tiêu của doanh nghiệp rốt cuộc là tạo ra lợi nhuận
      Nếu thứ ‘kịch doanh nghiệp (corporate theater)’ này dẫn đến doanh thu thì đó cũng là một phần của kinh doanh
      Nếu không cung cấp sản phẩm theo cách khách hàng yêu cầu thì cuối cùng cũng sẽ bị thị trường đào thải
    • Tôi nghĩ những quy trình chứng nhận phức tạp kiểu này là cơ chế được thiết kế để một số bên kiểm soát quyền tiếp cận khách hàng
      Những người kiểm soát checklist là bên hưởng lợi

  • Compliance không khó đến vậy nếu làm đúng cách và chịu bỏ thời gian, thay vì đi tìm đường tắt
    Tôi cho rằng AWS là nhà cung cấp CaaS (Compliance as a Service) theo đúng nghĩa
    Thông qua AWS Artifact, họ hỗ trợ khách hàng vượt qua các quy trình chứng nhận phức tạp dễ dàng hơn
    Tất nhiên phần mềm và chính sách vẫn là trách nhiệm của người dùng, nhưng bảo mật vật lý, quản lý phần cứng, khôi phục sau thảm họa... thì về thực tế được cung cấp gần như “miễn phí”

    • Những lợi ích này không chỉ có ở AWS mà áp dụng cho mọi nhà cung cấp cloud lớn
      Chỉ là nếu so với nhà cung cấp hạ tầng đơn giản như Hetzner thì mức premium về chi phí khá lớn

  • Tôi tò mò không biết khả năng các nhà sáng lập ngoài 20 tuổi sẽ hăng hái giải quyết bài toán kiểm toán compliance là bao nhiêu
    Đây là lĩnh vực quá chán nên khó thấy hứng thú. Hay đơn giản là họ lao vào vì cơ hội?

    • Giải quyết vấn đề nhàm chán mới đúng là bài bản startup
      Có câu rằng vấn đề càng trông tầm thường thì càng kiếm ra tiền
      Giống như bài viết của Joel Spolsky “Where there’s muck, there’s brass”
    • Tôi làm ở một công ty xây phần mềm tùy biến cho các ngành được quản lý chặt
      Những kỹ sư trẻ tài năng ngoài 20 tuổi đang phát triển hệ thống giám sát Compliance Management System
      Họ đang dùng AI để giải quyết những bài toán kinh doanh lâu năm. Ở bờ Đông nước Mỹ, đây là thị trường lớn trong ngân hàng, điện lực, y tế...
    • Tôi nghĩ không hẳn là đam mê, mà là có nhiều người trẻ ngoài 20 rất muốn kiếm tiền
    • Tôi cũng làm trong ngành này, và domain thì thực sự khô khan, chẳng vui vẻ gì
      May là phần kỹ thuật lại thú vị
      Từ phía khách hàng, compliance đau đầu đến mức chỉ cần tự động hóa được một chút thôi cũng đã có giá trị rất lớn
    • Đây giống như một mô hình tư vấn mới
      Tập hợp những người trẻ thông minh ngoài 20 tuổi rồi gọi vốn dưới danh nghĩa “đổi mới ngành”
      Nó khá giống việc các consultant của McKinsey tạo ảnh hưởng nhờ brand name hơn là nhờ bản thân công việc
      YC có vẻ cũng đóng vai trò như vậy

  • Kể cả nếu bài viết này là đòn tấn công từ đối thủ, thì bằng chứng được đưa ra vẫn cực kỳ mạnh
    Nếu là bịa đặt thì thiệt hại do phỉ báng sẽ lên tới hàng chục triệu đô la
    Tôi tôn trọng sự can đảm khi dám công bố chuyện này

  • Điều thú vị là tác giả và mạng lưới của họ chỉ bắt đầu lên tiếng sau khi chính chứng nhận của họ bị lộ là vô hiệu
    Giờ họ lại tỏ ra như thể mình là ‘những người chính nghĩa đã vạch trần Delve’

  • Tôi đã trực tiếp trải qua quy trình này
    Tôi cho rằng thất bại cốt lõi là ở chỗ tổ chức chứng nhận nhận tiền và cấp chứng chỉ mà không hề xác minh
    Những bên trung gian như Delve chỉ là kẻ khuếch đại thất bại đó
    Ai trong ngành cũng biết đây chỉ là security theater đơn thuần

  • Độ sâu của bài viết thật ấn tượng
    Gần đây bên tôi cũng đang xem xét Drata, và lúc đầu nó trông khá ổn
    Nhưng mỗi lần có vụ như thế này nổ ra, tôi lại tự hỏi còn bao nhiêu trò gian dối chưa bị phanh phui nữa

  • Mục đích duy nhất của kiểm thử là phát hiện thất bại
    Trong bầu không khí ai cũng chỉ làm theo, việc có người công khai chỉ ra vấn đề như thế này thật mới mẻ

  • Tôi thấy bài này trên LinkedIn và thật sự rất thú vị
    Với mức độ đào sâu như thế này, tôi nghĩ giờ đáng lẽ nó phải ở đầu trang HN rồi

    • Có lẽ nó đã bị cố tình hạn chế hiển thị
      Xét việc đây là site của Y Combinator thì điều đó có thể xảy ra
      Tôi biết vài công ty đã nhận được báo cáo SOC 2 Type 2 chỉ trong 5 ngày thông qua Delve
      Họ còn dùng nguyên văn khẩu hiệu marketing “SOC 2 in days”. Thật khó tin

  • Compliance là thứ chẳng ai muốn nhưng ai cũng cần
    Rốt cuộc nó bị xem như một dịch vụ để chuyển giao trách nhiệm
    Khi cơ quan quản lý hỏi đến thì chỉ cần đưa chứng chỉ từ nơi như Delve ra là xong

    • Tôi không muốn làm việc ở một nơi như vậy
      Nhà cung cấp SaaS phải có ý thức trách nhiệm trong việc bảo vệ dữ liệu khách hàng
      Compliance framework là công cụ giúp cho nỗ lực đó
      Nó là cách để tìm khoảng trống, nhận diện rủi ro, thúc đẩy cải thiện và giải thích mức độ của chúng ta cho đối tác
      Hành vi được mô tả trong bài viết trên Medium đơn thuần là lừa đảo
      Với tư cách founder, tôi muốn mang lại cho khách hàng mức độ tin cậy cao nhất
    • Không ai muốn nộp thuế hay giặt đồ, nhưng đó là việc phải làm
      Compliance cũng vậy
    • Khi tôi còn làm trong ngành an ninh mạng cũng y như thế
      Phần lớn khách hàng thuê chúng tôi không phải để tăng cường bảo mật mà là để đáp ứng yêu cầu bảo hiểm
      Rốt cuộc vẫn là một cấu trúc nhằm chuyển giao trách nhiệm
    • Nghe như người không hiểu ngành B2B nói vậy
      Trên thực tế, nhiều founder liên tục nghe câu “chúng tôi muốn mua sản phẩm của bạn nhưng không thể vì chưa có chứng nhận”
      Vì thế họ thức dậy vào buổi sáng và nghĩ “hôm nay mình phải lấy cho được chứng nhận XYZ-123”
      Compliance không phải là đẩy trách nhiệm sang nơi khác, mà là điều kiện tối thiểu để chứng minh sự tin cậy với khách hàng
      Mọi cuộc chơi đáng giá đều có phí vào bàn (table stakes)
    • Không ai tự nguyện muốn làm compliance, nhưng
      nếu bạn đã lập ra một công ty có nghĩa vụ pháp lý và đạo đức thì đó là trách nhiệm bạn phải tự gánh
      Đẩy nó sang cho công ty khác là hành vi vô trách nhiệm