The password reset logic confirms whether en email exists in the user database. This is generally considered bad practice as it enables malicious users to “query” discourse user db. DigitalOcean is a good example of being vague about the provided email, “if the email you specified exists in our system, we’ve sent a password reset link to it”
If you want this, enable it in site settings. Already exists.
By default we tell people since they can never remember which of their 10 email addresses they signed up with, so it is user hostile to force them to walk through all 10 emails to figure out which one they used on your site.
The signup form already gives away if an email address already exists (and turning that off doesn’t make sense) so it doesn’t really matter here, it doesn’t make that attack vector go away and it only makes things harder for users who actually forgot their password (or: forgot their email address)
@codinghorror thanks I didn’t know there’s a setting for it
@michaeld yes, it is true that the sign up form confirms for the existence of an email but one can reduce the email visibility by integrating Discourse with external identity providers or creating a custom sign up form with CAPTCHA.
There are already rate limits on these forms, try it yourself.
Suponho que esta tenha sido uma postagem antiga, mas caso alguém mais se depare com este problema e esteja preocupado com a possibilidade de as pessoas obterem e-mails de membros existentes da comunidade, parece que o Discourse implementou uma solução simples para isso. Nas configurações, procure por “hide email address taken” (ocultar e-mail existente) e ative-o. Isso impedirá que os usuários usem a opção “esqueci minha senha” para consultar e-mails em seu servidor.
Só para conectar isso, foi adicionado neste commit como parte deste tópico - Hide 'email account exists' for invites \n\n\nhttps://github.com/discourse/discourse/pull/16703\n\nNão, eu não estava prestando atenção. 
Isso foi para estender essa configuração ainda mais para incluir a tela de convite. Ainda assim, uma adição interessante que fico feliz por ter mencionado.
Fechado em favor de Email enumeration vulnerability on "Password Reset" dialogue
