Gli aggressori potrebbero già farlo semplicemente registrando nuovi account. Se l’aggressore conosce 100.000 indirizzi e-mail, può registrare 100.000 account e Discourse invierà a ciascuno di essi un’e-mail di attivazione, che ciascun utente potrebbe segnalare come spam.
L’invio di e-mail “impossibile reimpostare la password, il tuo account non esiste” a indirizzi e-mail di account che non esistono non rende questo attacco né più facile né più difficile.
Questo attacco non è un problema per la maggior parte dei siti, ma, se sei preoccupato, dovresti usare il plugin Discourse hCaptcha, che aumenta il costo per l’aggressore. (Meta non lo usa; la maggior parte dei forum ospitati da Discourse non lo usa.)
Penso che se Discourse accetta il mio suggerimento di iniziare a inviare e-mail “impossibile reimpostare la password, il tuo account non esiste” a indirizzi e-mail di account che non esistono, avrebbe senso che il plugin hCaptcha funzioni anche sul modulo di reimpostazione della password oltre che sul modulo di registrazione. (Io stesso non avrei comunque bisogno/userei hCaptcha.)