Il GAO, un braccio di ricerca del Congresso, ha dichiarato in un comunicato che i dati riguardavano informazioni di identificazione personale sui dipendenti, comprese alcune persone che hanno lavorato dal 2007 al 2017.
Una lettera di notifica della violazione visionata da Reuters ha detto che i dati contenevano "nomi, numeri di previdenza sociale, indirizzi e alcune informazioni bancarie". La lettera diceva che la violazione era stata effettuata da un "attore minaccioso che sfruttava una vulnerabilità in una piattaforma fornita esternamente", ma non entrava nei dettagli.
Il portavoce del GAO, Chuck Young, ha detto che la sua agenzia è stata informata della violazione il 17 gennaio, ma che ha rivolto le domande sul suo impatto a CGI. CGI Federal non ha risposto immediatamente ai messaggi di richiesta di commento.
CGI, che negli ultimi anni ha puntato sulla cybersecurity, ha una serie di contratti con il Governo federale. In una recente testimonianza al Congresso, un funzionario di CGI ha affermato che l'azienda ha fornito protezione informatica a "100 agenzie partecipanti" attraverso l'agenzia statunitense di cybersecurity incaricata di proteggere le reti federali.
Nella stessa testimonianza, GCI ha dichiarato di aver fornito servizi di cybersecurity ai dipartimenti di Stato, Giustizia, Commercio e Lavoro, nonché alla Federal Communications Commission e all'Agenzia degli Stati Uniti per lo Sviluppo Internazionale.
L'agenzia di cybersicurezza non ha risposto immediatamente a una richiesta di commento su CGI. L'FBI non ha risposto immediatamente alle e-mail. (Servizio di Raphael Satter. Servizi aggiuntivi di Christopher Bing e Douglas Gillison a Washington; Redazione di Cynthia Osterman e Lisa Shumaker)
