Es gibt wahrscheinlich keinen Grund zur Sorge. Discourse sendet diese Nachricht an die E-Mail-Adresse eines Benutzers, wenn jemand auf den Link „Ich habe mein Passwort vergessen“ im Anmeldeformular klickt und die E-Mail-Adresse des Benutzers in das Formular eingibt:
Es gibt nichts, was jemanden daran hindert, eine beliebige E-Mail-Adresse in das Formular einzugeben. Dies ist eine Standardpraxis für die Handhabung vergessener Passwörter im Web. Die integrierte Sicherheitsfunktion besteht darin, dass die E-Mail zur Passwortzurücksetzung nur an die E-Mail-Adresse gesendet wird, die in das Formular eingegeben wurde. Wenn die Person, die die E-Mail ausgelöst hat, keinen Zugriff auf den Posteingang der E-Mail hat, kann sie keinen Zugriff auf die Website erhalten.
Sie sollten jedoch die Zwei-Faktor-Authentifizierung für Ihr Discourse-Konto aktivieren. Dies bietet Ihnen zusätzliche Sicherheit für den unwahrscheinlichen Fall, dass jemand Zugriff auf Ihr E-Mail-Konto hat. Sie können die Zwei-Faktor-Authentifizierung auf der Seite „Sicherheit“ Ihres Discourse-Kontos aktivieren. Wenn Sie Probleme bei der Einrichtung haben, erhalten Sie hier Hilfe.
Es ist unwahrscheinlich, dass Sie sich wegen des Problems an HackerOne wenden müssen. HackerOne ist für Personen gedacht, die einen wiederholbaren Exploit in Discourse entdeckt haben. Ich denke, Sie haben es hier mit der erwarteten Funktionalität des Formulars „Ich habe mein Passwort vergessen“ zu tun.
Bearbeiten: Sind Sie Administrator der Website? Wenn ja, ist es möglich, dass Ihre E-Mail-Adresse in der Einstellung site contact username festgelegt ist. Diese E-Mail-Adresse wird auf der Seite „Über“ der Website angezeigt. Es wäre einfach, sie von dort abzurufen. Idealerweise sollten alle Mitarbeiter der Website die Zwei-Faktor-Authentifizierung für ihre Discourse-Konten aktivieren.