Il n’y a probablement pas lieu de s’inquiéter. Discourse envoie ce message à l’adresse e-mail d’un utilisateur si quelqu’un clique sur le lien « J’ai oublié mon mot de passe » sur le formulaire de connexion de <s’inscrire> et saisit l’adresse e-mail de l’utilisateur dans le formulaire :
Rien n’empêche qui que ce soit de saisir une adresse e-mail dans le formulaire. C’est la pratique standard pour gérer les mots de passe oubliés sur le web. La fonctionnalité de sécurité intégrée est que l’e-mail de réinitialisation du mot de passe n’est envoyé qu’à l’adresse e-mail saisie dans le formulaire. Ainsi, à moins que la personne qui a déclenché l’e-mail n’ait également accès à la boîte de réception de l’e-mail, elle ne pourra pas accéder au site.
Vous pourriez envisager d’activer l’authentification à deux facteurs sur votre compte Discourse. Cela vous donnera une couche de sécurité supplémentaire, au cas où quelqu’un aurait accès à votre compte de messagerie. Vous pouvez activer l’authentification à deux facteurs à partir de la page Sécurité de votre compte Discourse. Si vous rencontrez des difficultés pour la configurer, vous pouvez obtenir de l’aide ici.
Il est peu probable que vous deviez contacter HackerOne à ce sujet. HackerOne s’adresse aux personnes qui ont découvert une faille exploitable et répétable dans Discourse. Je pense que ce que vous rencontrez est le fonctionnement attendu du formulaire « J’ai oublié mon mot de passe ».
Modification : êtes-vous administrateur du site ? Si oui, il est possible que votre adresse e-mail soit définie dans le paramètre username de contact du site. Cette adresse e-mail est affichée sur la page À propos du site. Il serait facile pour quelqu’un de la récupérer. Idéalement, tout le personnel du site devrait activer l’authentification à deux facteurs sur ses comptes Discourse.