主要观点：

• 原本普通的电子邮件地址在如今互联世界已成为国家安全关键，OSINT 公司和攻击者利用密码恢复流程等手段获取账户信息并进行关联。
• 单点登录（SSO）服务虽方便但易导致身份关联，增加隐私风险，如谷歌等 SSO 提供商曾出现信息泄露。
• 攻击者通过多种侧信道方法获取账户信息，如利用密码重置页面、账户枚举、跨服务数据组合等，这已上升为国家安全问题，可用于大规模身份盗窃、网络间谍等。
• 有缓解策略，包括用户使用邮件“+地址”或掩码电子邮件服务创建独特标识符，网站规范密码重置流程等，以减少信息泄露和可追踪性。

关键信息：

• OSINT 公司利用密码重置流程获取账户存在信息及部分个人数据，不同网站在密码重置时对个人信息的透露程度不同。
• SSO 服务通过统一身份（常为电子邮件地址）易导致跨站关联，增加隐私风险，苹果的“Sign in with Apple”模式可减少关联。
• 侧信道攻击方法多样，如通过错误消息、计时绕过、滥用关联账户等获取信息，信息泄露可导致严重后果。
• 缓解策略包括用户使用邮件“+地址”和掩码电子邮件服务，网站规范密码重置流程、实施限速监测等。

重要细节：

• 如 OSINT 公司能通过输入电子邮件地址在数百个网站自动检查账户，利用不同网站密码重置时透露的手机或邮箱片段拼凑信息。
• 谷歌账户登录页面的未认证 API 可泄露关联邮箱，苹果的“Hide My Email”可生成随机邮件地址保护隐私。
• 许多网站在密码重置等流程中存在设计缺陷，易被攻击者利用，如响应不一致等。
• 国家层面的攻击者利用 OSINT 收集的数据进行精准攻击，如针对政府和军事人员的网络间谍活动等。
• 邮件“+地址”可创建独特标识符，但存在一些限制和挑战，如部分网站不支持、易被攻击者忽略等；掩码电子邮件服务提供更高级的身份分离解决方案，但需依赖可信转发服务。
• 网站应规范密码重置流程，停止泄露数据，统一账户存在回复，实施限速监测等，平台提供商应考虑为用户提供别名管理等功能。