The password reset logic confirms whether en email exists in the user database. This is generally considered bad practice as it enables malicious users to “query” discourse user db. DigitalOcean is a good example of being vague about the provided email, “if the email you specified exists in our system, we’ve sent a password reset link to it”
If you want this, enable it in site settings. Already exists.
By default we tell people since they can never remember which of their 10 email addresses they signed up with, so it is user hostile to force them to walk through all 10 emails to figure out which one they used on your site.
The signup form already gives away if an email address already exists (and turning that off doesn’t make sense) so it doesn’t really matter here, it doesn’t make that attack vector go away and it only makes things harder for users who actually forgot their password (or: forgot their email address)
@codinghorror thanks I didn’t know there’s a setting for it
@michaeld yes, it is true that the sign up form confirms for the existence of an email but one can reduce the email visibility by integrating Discourse with external identity providers or creating a custom sign up form with CAPTCHA.
There are already rate limits on these forms, try it yourself.
Supongo que esta fue una publicación antigua, pero en caso de que alguien más se encuentre con este problema y esté preocupado por la posibilidad de que la gente pueda buscar correos electrónicos de miembros existentes de la comunidad, parece que Discourse implementó una solución simple para eso. En la configuración, busque “ocultar dirección de correo electrónico tomada” y habilítelo. Esto evitará que los usuarios utilicen la función “olvidé mi contraseña” para consultar correos electrónicos en su servidor.
Solo para vincular esto, se agregó en este commit como parte de este tema - Hide 'email account exists' for invites \n\n\nhttps://github.com/discourse/discourse/pull/16703\n\nNo, no estaba prestando atención. 
Eso fue para extender esa configuración aún más para incluir la pantalla de invitación. Aún así, una adición interesante que me alegro de haber mencionado.
Cerrado en favor de Email enumeration vulnerability on "Password Reset" dialogue
