Prima di tutto, non mi piace usare il termine "affrontare un rischio" perché ci sono parole più precise di "indirizzo". So che è un termine comunemente usato nella gestione del rischio, ma credo che rischia di essere frainteso, quindi preferirei evitarlo.
In ogni caso, non vi è alcun rischio per la sicurezza di rimuovere indirizzi di account disabilitati. Tuttavia, credo che tu stia facendo la domanda sbagliata.
Dipende da cosa intendi per "account disabilitato".
Un account disattivato potrebbe essere semplice come una riga in un database con 2 colonne, una chiave primaria userid che è un intero e una enum isdisabled che è impostata a "VERO". Eliminare questo account disabilitato rappresenta un rischio? Non penso che lo faccia.
Ma dall'altra parte dello spettro l'account disabilitato potrebbe contenere numeri di carta di credito, password non crittografate, foto della patente di guida, numero di previdenza sociale, ecc. insieme a isdisabled impostato su "TRUE".
Che cos'è esattamente un "account disattivato" nello scenario?
In generale, consiglierei di non eliminare mai account disabilitati, e piuttosto di prendere in considerazione la rimozione di informazioni sensibili al punto di "disabilitare" l'account. Quindi, se un utente disabilita e riattiva il proprio account, sarà necessario aggiungere nuovamente i numeri di carta, ricontrollare il proprio numero di telefono, ecc. Quindi, in pratica, impostare tutti i flag sulle posizioni predefinite e conservare solo le informazioni non sensibili.
Mantenere un account disabilitato ha un valore. Hai una registrazione completa del numero di utenti che si sono registrati e potresti prendere in considerazione di conservare alcune delle loro informazioni per vari scopi. Se un utente si iscrive, verifica il proprio numero di telefono, quindi diventa blacklisted / banned dal sistema, quindi disattiva il proprio account (e il sistema di "disattivazione" rimuove il proprio numero di telefono o rimuove tutta la riga compreso il numero di telefono), quindi può firmare di nuovo con un altro indirizzo e-mail e riattivare il loro numero di telefono e potenzialmente aggirare la lista nera (se la tua lista nera è una colonna isbanned).
Quindi sicuramente mantieni i tuoi account disattivati, ma assicurati di prendere in considerazione la rimozione di informazioni sensibili da loro, specialmente il tipo di informazioni che gli utenti si aspettano che tu elimini e che non puoi usare per buoni propositi.