Adobe、LinkedIn、Yahoo、Facebook——我们信任的公司都发生过重大泄露。几乎每次，电子邮件地址都是最先被盗取的内容，因为它是你数字生活中一切事物的万能钥匙：密码重置、双因素认证、银行通知。

你可以使用安全研究员Troy Hunt创建的免费工具Have I Been Pwned检查你的地址是否出现在已知泄露中。根据Statista的数据，全球发送的电子邮件中约45-50%是垃圾邮件。

泄露后的完整攻击链

数据泄露的危害不是一次性发生的。在大型泄露发生后的数小时或数天内，盗取的数据就会出现在暗网市场上。你的电子邮件地址——以及可能的哈希密码——被大量交易。然后垃圾邮件活动开始。接下来是更危险的凭据填充：自动化工具使用你的邮件和可能被盗的密码在数百个其他服务上尝试登录。

更复杂的是有针对性的网络钓鱼。攻击者使用泄露数据创建能够引用你真实信息的令人信服的电子邮件。电子前沿基金会详细记录了多次泄露数据聚合如何为个人创建详细档案。

为什么你的电子邮件地址如此有价值

被盗的信用卡几分钟内就能封锁。被盗的密码可以更改。但你的电子邮件地址呢？它是半永久性的。你已经用了多年，也许几十年。数十个服务都用它注册。GDPR赋予欧盟居民请求删除数据的权利，但对于已经被出售或复制的数据无济于事。

攻击面问题

每个持有你真实电子邮件地址的服务都是潜在的泄露点。将临时电子邮件用于不必要的注册会从根本上改变这个方程式。如果那个数据库后来被攻破，你的真实地址根本不在其中。

如果你的电子邮件被泄露该怎么办

1. 在Have I Been Pwned上确认具体是哪次泄露，包含了哪些数据
2. 立即在该服务上更改密码
3. 检查是否在其他地方重用了该密码——在所有地方更改
4. 在受影响的账户上启用双因素认证
5. 在Have I Been Pwned上设置免费泄露提醒
6. 注意提及被泄露服务的网络钓鱼邮件

培养更好的习惯

减少电子邮件地址的攻击面是最有效的预防措施。你的真实地址只应存在于你真正信任的服务中。对于其他一切，一次性地址将你的真实地址排除在外。像Proton Mail或SimpleLogin这样的服务可以提供帮助。

对于真正的一次性交互，临时邮件是最干净的解决方案——无需设置、无需账户、无需真实身份。