Os atacantes já poderiam fazer isso simplesmente registrando novas contas. Se o atacante conhece 100.000 endereços de e-mail, ele pode registrar 100.000 contas, e o Discourse enviará a cada uma delas um e-mail de ativação, que cada usuário poderia denunciar como spam.
Enviar e-mails de “não é possível redefinir a senha, sua conta não existe” para endereços de e-mail de contas que não existem não torna esse ataque mais fácil ou mais difícil.
Este ataque não é um problema para a maioria dos sites, mas, se você estiver preocupado com ele, deve usar o plugin Discourse hCaptcha, que aumenta o custo para o atacante. (O Meta não o usa; a maioria dos fóruns hospedados pelo Discourse não o usa.)
Eu acho que se o Discourse aceitar minha sugestão de começar a enviar e-mails de “não é possível redefinir a senha, sua conta não existe” para endereços de e-mail de contas que não existem, faria sentido o plugin hCaptcha funcionar no formulário de redefinição de senha, bem como no formulário de inscrição. (Eu ainda não precisaria/usaria o hCaptcha.)