Step 01
先确认泄露的时间和数据类型
记录事件名称、暴露时间和涉及的数据类型。密码哈希、明文密码、手机号、地址和安全问题的处置优先级不同。不要在不可信查询页面输入当前密码。
如果事件来源仍不明确,把它当作风险线索处理,并从账号平台的登录历史与安全通知寻找独立证据。
Step 02
优先消除密码复用
为受影响账号设置全新且独立的密码,并检查其他服务是否使用相同或相似密码。密码管理器中的重复与弱密码报告可以帮助排序。
不要只在泄露的网站更改一个字符。攻击者会尝试常见变体,并把邮箱和旧密码组合用于其他平台。
Step 03
撤销当前攻击路径
退出其他会话,撤销不认识的授权应用和设备,检查恢复邮箱、手机号、邮箱转发与过滤规则。启用多因素认证,并优先使用抗钓鱼能力更强的方式。
如果主邮箱受影响,应先保护主邮箱,因为它通常能够重置其他账号。随后再处理金融、工作、社交与普通订阅账号。
Step 04
减少未来暴露范围
按用途使用邮箱别名,把重要账号与公开注册分离。为关键账号使用独立恢复渠道,并减少在公开资料中暴露主邮箱。
组织应记录受影响员工、关键系统和完成状态,但避免在处置表中再次收集不必要的密码或个人敏感信息。
Action Checklist
执行清单
- 确认事件时间和暴露数据类型
- 更换独立密码并排查复用
- 撤销其他会话和陌生授权应用
- 检查邮箱转发、恢复方式并启用 MFA
- 使用别名和独立恢复渠道降低暴露