Die Datenbank enthalte «sehr sensible» Informationen, berichtete die «Washington Post» am Freitag weiter. Da darunter möglicherweise auch Angaben über CIA-Agenten seien, könnten diese von den Hackern enttarnt werden.
Den Angaben zufolge sind in der Datenbank der OPM Informationen über das Privatleben und die Finanzlage von Regierungsmitarbeitern, ihre Familie, Freunde, Nachbarn und Auslandskontakte gespeichert.
Die US-Regierung hatte in der vergangenen Woche mitgeteilt, bei der Cyberattacke auf die Personalverwaltung seien persönliche Daten von bis zu vier Millionen aktiven und ehemaligen Regierungsangestellten abgegriffen worden. Der Angriff wurde demnach bereits Ende 2014 vor der Einführung neuer Sicherheitssysteme verübt.
Die Gewerkschaft der Regierungsangestellten hatte am Donnerstag kritisiert, dass die Hacker wegen mangelhafter Sicherheitsvorkehrungen Daten aller Mitarbeiter der Bundesbehörden abgegriffen haben könnten. Die Personalverwaltung habe unter anderem die Sozialversicherungsnummern der Mitarbeiter nicht verschlüsselt.
«Die offene Frage ist, ob es auch CIA-Leute treffen wird», sagte ein US-Regierungsvertreter der «Washington Post». «Das wäre eine Riesensache. Sie könnten dann beginnen, Identitäten aufzudecken.»
Ein Sprecher des OPM sagte, es werde noch geprüft, wie viele Menschen von dem Angriff betroffen seien und ob Informationen entwendet wurden. Informationen, wonach der Cyberangriff von China aus ausgeführt wurde, wollte der Sprecher nicht bestätigen.
James Lewis vom Politikinstitut CSIS in Washington sagte aber wie andere Experten, viel deute auf den chinesischen Geheimdienst hin. «Es ist normal für grosse Geheimdienste grosse biographische Datenbanken zu ihren Gegnern anzulegen», sagte Lewis der Nachrichtenagentur AFP. Die Analyse riesiger Mengen persönlicher Daten sei für Geheimdienste ähnlich wie für Unternehmen von grossem strategischem Vorteil.
Auch Ryan Kazanciyan von der Sicherheitsfirma Tanium sagte, die Daten seien im Hinblick auf Spionage «unglaublich wertvoll». Die Daten könnten etwa für gezielte Phishing-Angriffe per E-Mail oder für Erpressung und unter Umständen auch zur Aufdeckung von Geheimagenten benutzt werden.
John Dickinson von der Sicherheitsfirma Denim Group sagte, die Daten seien zudem hilfreich, wenn ein Geheimdienst Beamte suche, die er als Agenten rekrutieren könne.