Les attaquants pouvaient déjà le faire simplement en enregistrant de nouveaux comptes. Si l’attaquant connaît 100 000 adresses e-mail, il peut enregistrer 100 000 comptes, et Discourse enverra à chacun d’eux un e-mail d’activation, que chaque utilisateur pourrait signaler comme spam.
L’envoi d’e-mails « impossible de réinitialiser le mot de passe, votre compte n’existe pas » à des adresses e-mail de comptes qui n’existent pas ne rend pas cette attaque plus facile ou plus difficile.
Cette attaque n’est pas un problème pour la plupart des sites, mais si cela vous inquiète, vous devriez utiliser le plugin Discourse hCaptcha, qui augmente le coût pour l’attaquant. (Meta ne l’utilise pas ; la plupart des forums hébergés par Discourse ne l’utilisent pas.)
Je pense que si Discourse accepte ma suggestion de commencer à envoyer des e-mails « impossible de réinitialiser le mot de passe, votre compte n’existe pas » aux adresses e-mail de comptes qui n’existent pas, il serait logique que le plugin hCaptcha fonctionne également sur le formulaire de réinitialisation de mot de passe ainsi que sur le formulaire d’inscription. (Je n’aurais toujours pas besoin/n’utiliserais pas hCaptcha moi-même.)