An die möglichen Betroffenen würden ab Montag Benachrichtigungen geschickt. Möglicherweise würden die Ermittlungen in dem Fall ergeben, dass es noch mehr Betroffene gebe. Sollten ihre Identitäten gestohlen und für betrügerische Zwecke missbraucht worden sein, würden die Behördenmitarbeiter mit jeweils einer Millionen Dollar (887 Millionen Euro) entschädigt, erklärte das OPM. Zugleich rief die Behörde potenziell Betroffene auf, wachsam bei Bankgeschäften und möglichen Manipulationen persönlicher Daten zu sein.

Der Zeitung "Washington Post" berichtete unter Berufung auf nicht namentlich genannnte US-Vertreter, die Cyberattacke sei aus China geführt worden und habe bereits im Dezember begonnen. Auch andere Medien berichteten, die Spur führe nach China.

Das OPM entdeckte nach eigenen Angaben nach der Einführung neuer Sicherheitssysteme im April, dass sich Hacker Zugang zu den Computernetzwerken verschafft hatten. Die Personalverwaltung arbeitet nun mit dem Heimatschutzministerium und der Bundespolizei FBI zusammen, um das Ausmaß der Cyberattacke zu untersuchen. "Die Daten unserer Bundesbeamten vor heimtückischen Cyber-Vorfällen zu schützen, ist von höchster Priorität", erklärte die Behördenleiterin Katherine Archuleta. Ob die Daten hochrangiger Beamter gestohlen wurden, wurde nicht mitgeteilt.

Die OPM kümmert sich um die Mitarbeiter der Bundesbehörden. Sie ist unter anderem für Sicherheitsüberprüfungen des Personals und die Vergabe von Zugangsberechtigungen zuständig. Bereits im März 2014 war ein Cyberangriff auf das OPM und zwei in seinem Auftrag arbeitende Unternehmen entdeckt worden, bei dem es vornehmlich um die Anträge auf Zugangsberechtigungen von tausenden Mitarbeitern ging. Der Angriff, den ein hochrangiger US-Vertreter China anlastete, wurde abgewehrt.

Die USA haben nach eigenen Angaben zunehmend mit Hackerangriffen aus dem Ausland zu kämpfen. So wurde Ende Mai bekannt, dass unbekannte Hacker der US-Steuerbehörde IRS die Daten von rund 100.000 Steuerzahlern gestohlen haben. Nach Informationen des Fernsehsenders CNN führt die Spur der Cyberattacke nach Russland.

Bereits im Oktober waren Hackerangriffe auf Computersysteme des Weißen Hauses und des US-Außenministeriums verübt worden, die Medienberichten zufolge ebenfalls aus Russland kamen. Auch die Einzelhandelskette Target, der Versicherer Anthem, die Sony-Filmstudios und eine Krankenhaus-Kette wurden bereits Opfer von Hackerangriffen.

Die "New York Times" und die Enthüllungsplattform "ProPublica" berichteten am Donnerstag unter Berufung auf Dokumente des früheren US-Geheimdienstmitarbeiters Edward Snowden, die US-Regierung habe die Kompetenzen des Auslandsgeheimdienstes NSA im Kampf gegen Cyberattacken stillschweigend ausgeweitet. Das Justizministerium habe 2012 in zwei Memos der NSA erlaubt, zur Bekämpfung von Hackerangriffen aus dem Ausland das Internet ohne entsprechenden Gerichtsbeschluss zu durchsuchen.

Geheimdienstkritiker vertreten den Standpunkt, dass jede Ausweitung der NSA-Kompetenzen öffentlich debattiert werden muss. Bürgerrechtler fürchten überdies, dass der Auslandsgeheimdienst auf Grundlage derartiger Zugeständnisse in Bereiche vordringe, die eigentlich anderen Behörden vorbehalten seien.

Die Nationale Geheimdienstdirektion (ODNI) kommentierte die Berichte, angesichts der wachsenden Gefahr durch Cyberattacken "sollte es keine Überraschung sein, dass die US-Regierung Erkenntnisse über ausländische Mächte sammelt, die versuchen, in US-Netzwerke einzudringen und private Informationen von US-Bürgern und Unternehmen zu stehlen".