En primer lugar, no me gusta usar el término "abordar un riesgo" porque hay palabras más precisas que "dirección". Sé que es un término de uso común en la gestión de riesgos, pero creo que es probable que se malinterprete, así que preferiría evitarlo.
De todos modos, no existe ningún riesgo de seguridad al eliminar las direcciones de una cuenta deshabilitada. Sin embargo, creo que estás haciendo la pregunta incorrecta.
Depende de lo que quieras decir con "una cuenta deshabilitada".
Una cuenta deshabilitada puede ser tan simple como una fila en una base de datos con 2 columnas, una clave principal ID de usuario que es un número entero y una enumeración está deshabilitada que se establece a "VERDADERO". ¿Eliminar una cuenta deshabilitada aborda un riesgo? No creo que lo haga.
Pero en el otro extremo del espectro, la cuenta deshabilitada podría contener números de tarjetas de crédito, contraseñas no cifradas, foto de la licencia de conducir, número de seguro social, etc., junto con no habilitado configurado en "VERDADERO".
¿Qué es exactamente una "cuenta deshabilitada" en su escenario?
En general, recomendaría no eliminar nunca las cuentas deshabilitadas y considerar eliminar la información confidencial en el momento de "deshabilitar" la cuenta. Entonces, si un usuario desactiva y luego reactiva su cuenta, tendrá que volver a agregar números de tarjeta, volver a verificar su número de teléfono, etc. Entonces, básicamente, establecer todas las banderas en sus posiciones predeterminadas y mantener solo información no confidencial.
Mantener las cuentas deshabilitadas tiene valor. Tiene un registro completo de cuántos usuarios se han registrado y puede considerar conservar parte de su información para diversos fines. Si un usuario se registra, verifica su número de teléfono, su sistema lo coloca en una lista negra / prohibido, desactiva su cuenta (y su sistema de "desactivación" elimina su número de teléfono o elimina toda su fila, incluido el número de teléfono), entonces pueden firmar vuelva a subir con otra dirección de correo electrónico, vuelva a activar su número de teléfono y, posiblemente, evite la lista negra (si su lista negra es una columna está prohibida).
Definitivamente, mantenga sus cuentas deshabilitadas, solo asegúrese de considerar eliminar la información confidencial de ellas, especialmente el tipo de información que los usuarios esperan que elimine y que posiblemente no pueda usar con buenos fines.