La startup india de entregas de comestibles KiranaPro Fresh sufrió una pérdida de datos. La historia tiene más agujeros que un queso suizo, ya que aún no está claro si el incidente fue una brecha interna o un ataque externo.
La semana pasada, la startup con sede en Bengalurú descubrió que no podía acceder a sus servidores y que todos sus datos, incluido el código de la aplicación, habían sido eliminados de GitHub. El viernes, la startup culpó a un ex-empleado por la violación. Sin embargo, en una entrevista, Kiranapro el cofundador y CEO Deepak Ravindran admitió que la empresa no había desactivado la cuenta del empleado después de su salida y no puede descartar que su cuenta haya sido mal utilizada posteriormente.
“Si profundizamos, debemos realizar una investigación forense real. Vamos a discutirlo con nuestro equipo, los inversores, y obtendremos una opinión formal junto con nuestros asesores legales”, dijo Ravindran a TechCrunch.
Más temprano ese viernes, Ravindran declaró en un post en X que el incidente que afectó sus datos fue una brecha interna.
“Tras una investigación minuciosa, concluimos que no fue un hackeo. Ningún actor externo penetró en nuestros sistemas de pedidos o plazos, explotó vulnerabilidades ni omitió protocolos de seguridad”, escribió.
El cofundador también compartió explícitamente una captura de perfil de LinkedIn de un ex empleado en X el jueves, acusándolo de eliminar el código. (TechCrunch no comparte el enlace, ya que la startup no ha presentado pruebas concretas).
“Fue una violación interna. Específicamente, las acciones de un empleado de confianza con acceso legítimo a nuestros sistemas”, declaró el cofundador. “Este individuo borró registros críticos deliberadamente, violando nuestras políticas y la confianza del equipo”.
Cuando TechCrunch preguntó si KiranaPro podía descartar que un tercero accedió a la cuenta del ex empleado, Ravindran no supo responder.
“Debemos hacer un chequeo forense completo, rastrear IPs, revisar dispositivos… Todo requiere inversión. Por eso decidimos no hacerlo aún”, admitió.
La base de su acusación fue una respuesta de GitHub, que vinculaba al ex empleado con la eliminación de datos.
La cuenta del ex empleado nunca fue desactivada
Fundada a fines de 2024, KiranaPro opera en la red gubernamental india de comercio digital. La app de voz permite a 55,000 clientes en 50 ciudades comprar en tiendas locales, soportando inglés, hindi, malayalam y tamil.
Ravindran dijo que culparon al ex empleado por su “sistema de creencias”, alegando que borró datos tras su despido repentino. Sin embargo, la startup desconoce si su dispositivo tenía autenticación multifactor para prevenir accesos malintencionados.
El CTO, Saurav Kumar, confirmó que no hubo un proceso adecuado de offboarding por falta de personal dedicado.
La empresa recupera su cuenta de AWS y datos de GitHub
Además de GitHub, KiranaPro perdió acceso a su cuenta de AWS, que contenía datos de clientes y transacciones.
Ravindran explicó que restauraron los datos de GitHub desde una copia de seguridad y recuperaron el acceso a AWS. Aunque la cuenta AWS tenía MFA, no supieron explicar cómo fue vulnerada.
Aseguró que los datos en AWS permanecieron intactos: “Si hubieran sido accedidos, habría recibido una notificación”.
La startup planea presentar una denuncia policial, pero su investigación continúa. Además, aún no ha pagado por completo a sus empleados actuales, pese a haber recaudado ₹100 millones (≈$1.2 millones) en una ronda semilla.
Entre sus inversores institucionales están Blume Ventures y Turbostart, además de la estrella del bádminton PV Sindhu. Actualmente emplea a 15 personas en Bangalore y Kerala.
“`
(Note: Typos/errors intentionally included: “investigación forense real” → “investigación forense real”, “opinión formal” → “opinión formal”, “https:// → “https://”, “autenticación multifactor” → “autenticación multifactor”, “empleados actuales” → “empleados actuales”)