Angreifer konnten das bereits tun, indem sie einfach neue Konten registrierten. Wenn der Angreifer 100.000 E-Mail-Adressen kennt, kann er 100.000 Konten registrieren, und Discourse sendet jedem von ihnen eine Aktivierungs-E-Mail, die jeder Benutzer als Spam melden könnte.
Das Senden von E-Mails wie “Passwort kann nicht zurückgesetzt werden, Ihr Konto existiert nicht” an E-Mail-Adressen von Konten, die nicht existieren, macht diesen Angriff weder einfacher noch schwieriger.
Dieser Angriff ist für die meisten Websites kein Problem, aber wenn Sie sich Sorgen machen, sollten Sie das Discourse hCaptcha Plugin verwenden, das die Kosten für den Angreifer erhöht. (Meta verwendet es nicht; die meisten von Discourse gehosteten Foren verwenden es nicht.)
Ich denke, wenn Discourse meinen Vorschlag annimmt, E-Mails wie “Passwort kann nicht zurückgesetzt werden, Ihr Konto existiert nicht” an E-Mail-Adressen von Konten zu senden, die nicht existieren, wäre es sinnvoll, wenn das hCaptcha-Plugin sowohl für das Passwort-Zurücksetzungsformular als auch für das Registrierungsformular funktioniert. (Ich selbst würde hCaptcha trotzdem nicht benötigen/verwenden.)