攻撃者は、新しいアカウントを登録するだけで、すでにそれを実行できました。攻撃者が 100,000 件のメールアドレスを知っている場合、100,000 件のアカウントを登録でき、Discourse はそれぞれに確認メールを送信します。各ユーザーはそれをスパムとして報告できます。
存在しないアカウントのメールアドレスに、「パスワードのリセットができません。アカウントが存在しません」というメールを送信しても、その攻撃は容易にも困難にもなりません。
この攻撃はほとんどのサイトにとって問題ではありませんが、心配な場合は、攻撃者のコストを増加させる Discourse hCaptcha プラグイン を使用する必要があります。(Meta はそれを使用していません。Discourse でホストされているほとんどのフォーラムはそれを使用していません。)
Discourse が「パスワードのリセットができません。アカウントが存在しません」というメールを、存在しないアカウントのメールアドレスに送信するという私の提案を受け入れる場合、hCaptcha プラグインがサインアップフォームだけでなく、パスワードリセットフォームでも機能するようにすることが理にかなっていると思います。(私は自分で hCaptcha を使用する必要はありません。)