Hindistan‘ın market teslimat girişimi KiranaPro, yaşadığı veri kaybı olayıyla ilgili karmaşık bir durumla karşı karşıya. Şirketin kurucu ortakları, olayın içsel bir ihlal mi yoksa dışsal bir hack mi olduğuna dair kesin bir bilgi veremiyor.
Geçtiğimiz hafta, Bengaluru merkezli girişim, arka uç sunucularına erişim sağlayamadığını ve GitHub’daki tüm verilerinin, uygulama kodu da dahil olmak üzere, silindiğini fark etti. Cuma günü şirket, veri kaybından eski bir çalışanı sorumlu tuttu. Ancak, KiranaPro’nun kurucu ortağı ve CEO’su Deepak Ravindran, şirketin eski çalışanın hesabını kapatmadığını kabul ederek, bu hesabın kötüye kullanılma ihtimalini dışlamadığını belirtti.
Ravindran, TechCrunch ile yaptığı bir röportajda, “Daha derinlemesine bakarsak, gerçek bir adli soruşturma yapmamız gerekecek. Bu konuyu yönetim kurulumuzla, yatırımcılarımızla ve hukuki danışmanlarımızla da görüşeceğiz” dedi.
Cuma günü daha önce, Ravindran, X platformunda yaptığı bir paylaşımda, verileri etkileyen olayın içsel bir ihlal olduğunu iddia etti.
“Yaptığımız titiz incelemeler sonucunda bunun bir hack olmadığını belirledik. Hiçbir dış taraf, sipariş veya ödeme sistemlerimize sızmadı, güvenlik protokollerimizi aşmadı” dedi.
Kurucu ortak, ayrıca X üzerinde KiranaPro’nun eski çalışanlarından birine ait LinkedIn profilinin ekran görüntüsünü paylaşarak, bu kişinin girişimin kodunu sildiğini öne sürdü. (TechCrunch, girişimin henüz pozisyonunu destekleyen somut bir kanıt sunmadığı için paylaşımın bağlantısını vermemektedir.)
Ravindran, “Bu, içsel bir veri ihlaliydi. Özel olarak, sistemlerimize meşru erişimi olan güvenilir bir iç çalışan tarafından gerçekleştirilen eylemlerin sonucuydu” diye ekledi. “Bu kişi, kritik sunucu kayıtlarını test edilirken ve/veya düzenlenirken kasıtlı olarak sildi. Bu, politikalarımıza, ilkelerimize ve ekibimize duyduğumuz güvene tamamen aykırıdır.”
TechCrunch, KiranaPro’nun eski çalışanın hesabına kötü niyetli bir üçüncü tarafın erişim sağladığını dışlayıp dışlayamayacağını sorduğunda, Ravindran bu konuda net bir yanıt veremedi.
“Şirketin tam bir adli kontrolünü yapmamız gerekiyor. IP taraması yapmalıyız. İzlerin nerede olduğunu kontrol etmeliyiz. Kullanılan bilgisayarları, MacBook’ları kontrol etmeliyiz. Her şey gözden geçirilmeli. Sonrasında para harcamamız gerekecek… bu yüzden bunu yapmamaya karar verdik” dedi.
Eski çalışanın hesabı kapatılmadı
2024’ün sonlarında kurulan KiranaPro, Hindistan hükümetinin Açık Dijital Ticaret Ağı üzerinde bir alıcı uygulaması olarak faaliyet göstermektedir. Girişim, 50 şehirde 55.000’den fazla müşterinin yerel dükkanlardan ve süpermarketlerden market alışverişi yapmasına olanak tanıyor. Ayrıca, uygulama sesli arayüz desteği sunmakta ve yerel dillerde, İngilizce, Hintçe, Malayalam ve Tamil seçenekleriyle hizmet vermektedir.
Ravindran, eski çalışanı ifşa etme kararını, şirketin “inanç sistemine” dayandırdıklarını belirterek, eski çalışanın ani işten çıkarmasından sonra verileri sildiğini iddia etti.
Ancak, şirket, eski çalışanın cihazlarında kötü niyetli üçüncü taraf erişimini engelleyecek yeterli güvenlik önlemlerinin alınıp alınmadığını bilmediğini ifade etti.
Girişim, eski çalışanın ayrılmasının ardından veri ve GitHub hesabına erişimini kaldırmadıklarını doğruladı.
KiranaPro’nun teknoloji müdürü Saurav Kumar, TechCrunch’a, “Çalışanların işten çıkarılması düzgün bir şekilde yönetilmedi, çünkü tam zamanlı bir İK yoktu” dedi.
Şirket, AWS hesabını ve GitHub verilerini geri yükledi
KiranaPro, GitHub’daki kodlarının yanı sıra Amazon Web Services (AWS) hesabına erişimini de kaybetti; bu hesap, müşteri verileri ve işlem detaylarını içeriyordu.
Ravindran, TechCrunch’a, GitHub verilerinin bir çalışanlarından alınan yedek ile geri yüklendiğini belirtti. Şirket ayrıca, müşteri verileriyle birlikte AWS hesabına da erişim sağladı.
Hem kurucu ortak hem de CTO, AWS hesabının çok faktörlü kimlik doğrulaması ile korunduğunu söyledi, ancak hesabın nasıl erişildiği konusunda net bir bilgi veremediler, çünkü başka kimsenin Ravindran’ın çok faktörlü kodunu üreten telefonuna fiziksel erişimi yoktu.
Yine de, Ravindran, AWS bulutunda saklanan müşteri verilerinin sağlam kaldığını ve eski çalışanın bu verilere erişmediğini veya indirmediğini iddia etti.
“Eğer böyle bir durum olsaydı, e-posta veya başka bir iletişim aracıyla bildirim alacaktım” dedi.
Ravindran, girişimin polise resmi bir şikayette bulunacak kadar yeterli kanıta sahip olduğunu ancak soruşturmanın devam ettiğini belirtti.
Ayrıca, girişim, mevcut çalışanlarına tam ödeme yapmadıklarını doğruladı; bu durum, girişimin 100 milyon Hint rupisi (yaklaşık 1.2 milyon dolar) değerinde bir tohum yatırım turunu tamamlamasından kısa bir süre sonra meydana geldi. Ravindran, bu miktarın henüz tam olarak transfer edilmediğini söyledi.
Girişim, Blume Ventures, Unpopular Ventures ve Turbostart gibi kurumsal yatırımcıların yanı sıra, olimpiyat madalyası sahibi PV Sindhu ve Boston Consulting Group’un yönetici direktörü Vikas Taneja gibi melek yatırımcıları da barındırmaktadır. Şirketin Bengaluru ve Kerala’da 15 çalışanı bulunmaktadır.
