De GAO, een onderzoeksafdeling van het Congres, zei in een verklaring dat de gegevens betrekking hadden op persoonlijk identificeerbare informatie van werknemers, waaronder enkele mensen die er van 2007 tot 2017 werkten.
In een brief waarin Reuters de inbreuk meldde, stond dat de gegevens "namen, burgerservicenummers, adressen en sommige bankgegevens" bevatten. In de brief stond dat de inbreuk was gepleegd door een "bedreigende actor die misbruik maakte van een kwetsbaarheid in een extern platform", maar er werd niet dieper op de details ingegaan.
GAO-woordvoerder Chuck Young zei dat zijn instantie op 17 januari op de hoogte was gesteld van de inbreuk, maar verwees vragen over de gevolgen door naar CGI. CGI Federal reageerde niet direct op vragen om commentaar.
CGI, dat zich de afgelopen jaren heeft toegelegd op cyberbeveiliging, heeft een groot aantal contracten met de federale overheid. In een recente verklaring voor het congres zei een CGI-functionaris dat het bedrijf IT-bescherming heeft geleverd voor "100 deelnemende agentschappen" via het Amerikaanse cyberbeveiligingsagentschap dat belast is met de bescherming van federale netwerken.
In dezelfde getuigenis zei GCI dat het cyberbeveiligingsdiensten leverde aan de afdelingen State, Justice, Commerce en Labor, evenals aan de Federal Communications Commission en het United States Agency for International Development.
Het cyberbeveiligingsagentschap reageerde niet direct op een verzoek om commentaar over CGI. De FBI heeft niet onmiddellijk op e-mails gereageerd. (Verslaggeving door Raphael Satter. Aanvullende rapportage door Christopher Bing en Douglas Gillison in Washington; Bewerking door Cynthia Osterman en Lisa Shumaker)
