Общее количество потенциальных жертв атаки составило около 18 млн — по крайней мере, эта цифра предположительно звучала в докладе сенату США, подготовленном директором ФБР Джеймсом Коуми (James Comey). Кроме данных бывших и настоящих госслужащих в руки хакеров «утекли» данные и о кандидатах на государственные должности, заявки которых также рассматривала ОРМ.

По сведениям источников в правительстве США, первоначально речь шла о 10 млн похищенных записей. То, что это количество возросло почти вдвое, — это вполне ожидаемый факт. По словам Дж. Дэвида Кокса (J. David Cox), президента Американской федерации государственных служащих (AFGE), в которой состоят более 670 тыс. госслужащих, ущерб намного масштабнее, чем признает администрация Обамы. Также он заявил, что украденные номера соцстрахования хранились в незашифрованном формате, что, по его словам, «абсолютно безответственно и возмутительно».

По мере того как история набирает обороты, всплывают все новые подробности о совершенно запущенном состоянии информационной безопасности в OPM. Во время слушания в сенате глава OPM Кэтрин Арчулета (Katherine Archuleta) пыталась оправдать провал тем, что управлению не хватило времени, чтобы внедрить более совершенные средства обеспечения безопасности.

В ходе последнего аудита было выявлено огромное количество недостатков, в том числе существовавших в рамках корпоративной инфраструктуры нескольких не авторизованных для этого уровня безопасности систем, отсутствие нормального ПО для сканирования систем на наличие уязвимостей, решений для мониторинга сетевой активности и отсутствие двухфакторной аутентификации при входе в систему ОРМ. И даже после того, как новости об атаке на OPM стали известны широкой общественности, в OPM снова не смогли оправдать надежды: OPM прибегла к рассылке email-сообщений с целью информировать служащих, чьи данные были скомпрометированы. По иронии эти сообщения сделали жертв взлома еще более желанной целью для фишинговых атак.

Ни ФБР, ни OPM официально не подтвердили данные об утечке 18 млн записей. Представитель ФБР смог заявить: «Так как расследование до сих пор продолжается, мы не можем разглашать каких бы то ни было подробностей». В то же время в CNN отметили, что при этом оба агентства так и не опровергли информацию.