Probabilmente non c’è nulla di cui preoccuparsi. Discourse invierà quel messaggio all’indirizzo email di un utente se qualcuno fa clic sul link “Ho dimenticato la password” nel modulo di accesso signup e inserisce l’indirizzo email dell’utente nel modulo:
Non c’è nulla che impedisca a chiunque di inserire qualsiasi indirizzo email nel modulo. Questa è una pratica standard per la gestione delle password dimenticate sul web. La funzionalità di sicurezza integrata è che l’email di reimpostazione della password viene inviata solo all’indirizzo email inserito nel modulo, quindi a meno che la persona che ha attivato l’email non abbia anche accesso alla casella di posta dell’email, non sarà in grado di accedere al sito.
Potresti prendere in considerazione l’attivazione dell’autenticazione a due fattori sul tuo account Discourse. Ciò ti fornirà un ulteriore livello di sicurezza nell’eventualità che qualcuno abbia accesso al tuo account email. Puoi attivare l’autenticazione a due fattori dalla pagina Sicurezza del tuo account Discourse. Se hai problemi a configurarla, puoi ottenere aiuto qui.
È improbabile che tu debba contattare HackerOne per il problema. HackerOne è destinato a persone che hanno scoperto uno sfruttamento ripetibile in Discourse. Penso che ciò con cui hai a che fare sia la funzionalità prevista del modulo “Ho dimenticato la password”.
Modifica: sei un amministratore del sito? Se sì, è possibile che il tuo indirizzo email sia impostato nell’impostazione nome utente di contatto del sito. Quell’indirizzo email viene visualizzato nella pagina Informazioni del sito. Sarebbe facile per qualcuno estrarlo da lì. Idealmente, tutto il personale del sito attiverà l’autenticazione a due fattori sui propri account Discourse.