Probablemente no haya nada de qué preocuparse. Discourse enviará ese mensaje a la dirección de correo electrónico de un usuario si alguien hace clic en el enlace “Olvidé mi contraseña” en el formulario de inicio de sesión de registro y escribe la dirección de correo electrónico del usuario en el formulario:
No hay nada que impida que nadie introduzca ninguna dirección de correo electrónico en el formulario. Esta es la práctica estándar para gestionar las contraseñas olvidadas en la web. La característica de seguridad que se incluye en esto es que el correo electrónico de restablecimiento de contraseña solo se envía a la dirección de correo electrónico que se introduce en el formulario, por lo que, a menos que la persona que activó el correo electrónico también tenga acceso a la bandeja de entrada del correo electrónico, no podrá acceder al sitio.
Sin embargo, podría considerar habilitar la autenticación de dos factores en su cuenta de Discourse. Eso le dará una capa adicional de seguridad en el caso de que alguien tuviera acceso a su cuenta de correo electrónico. Puede habilitar la autenticación de dos factores desde la página de Seguridad de su cuenta de Discourse. Si tiene algún problema para configurarla, puede obtener ayuda aquí.
Es poco probable que necesite ponerse en contacto con HackerOne sobre el problema. HackerOne está destinado a personas que han descubierto una explotación repetible en Discourse. Creo que lo que está experimentando es la funcionalidad esperada del formulario “Olvidé mi contraseña”.
Editar: ¿es usted administrador del sitio? Si es así, es posible que su dirección de correo electrónico esté configurada en el ajuste nombre de usuario de contacto del sitio. Esa dirección de correo electrónico se muestra en la página Acerca de del sitio. Sería fácil que alguien la obtuviera de allí. Lo ideal sería que todo el personal del sitio habilitara la autenticación de dos factores en sus cuentas de Discourse.