Vorige week kwam een stevige hack op de netwerken en systemen van Office of Personnel Management (OPM), de Amerikaanse HR-dienst voor federale ambtenaren, aan het licht. De zeer gevoelige privédossiers van zeker 4 miljoen overheidsmedewerkers bleken gestolen, volgens OPM dankzij een "agressieve poging" om haar cyberveiligheid op orde te brengen.
Maar dat blijkt klinkklare onzin. De datadiefstal is namelijk onverwachts aan het licht gekomen nadat CyTech Services, een security-bedrijf uit de staat Virginia, afgelopen april een productdemonstratie gaf bij OPM. Het bedrijf levert een forensisch platform voor netwerkscans en liet die ter plekke los op de systemen van de federale HR-dienst. Met groot succes, de diagnostische controle bracht direct malware aan het licht die al zeker een jaar ingebakken zat op het netwerk.
De angst bij politici is inmiddels groot dat door de hack alle persoonsgegevens van (oud-)werknemers is gestolen, inclusief Burgerservicenummers, militaire- en veteranendossiers, adressen, sekse, geboortedatum, functie- en salarisoverzicht, ziektekosten- en levensverzekeringen en pensioeninformatie. Als beschamende informatie, bijvoorbeeld over drugsgebruik, in handen is van een buitenlandse inlichtingendienst, dan zou dit kunnen worden gebruikt voor chantage.
Het OPM zei na de hack dat er in de afgelopen jaren verbeteringen zijn gemaakt aan de beveiliging van zijn systemen. Maar er werd geen tweestapsauthenticatie gebruikt om in te loggen en tot 2013 zou het OPM helemaal geen beveiligingspersoneel hebben gehad.