心配する必要はないでしょう。ディスコースは、誰かがサインアップログインフォームの「パスワードを忘れました」リンクをクリックし、そのユーザーのメールアドレスをフォームに入力した場合に、そのユーザーのメールアドレスにメッセージを送信します。
誰かがフォームに任意のメールアドレスを入力することを妨げるものはありません。これは、ウェブ上でパスワードを忘れた場合に対応するための標準的な手順です。この機能に組み込まれているセキュリティは、パスワードリセットメールはフォームに入力されたメールアドレスにのみ送信されるということです。したがって、メールをトリガーした人がそのメールの受信トレイにアクセスできない限り、サイトにアクセスすることはできません。
ただし、ディスコースアカウントで2要素認証を有効にすることを検討してください。これにより、万が一誰かがあなたのメールアカウントにアクセスした場合でも、追加のセキュリティレイヤーが提供されます。ディスコースアカウントのセキュリティページから2要素認証を有効にできます。設定に問題がある場合は、ここでヘルプを得ることができます。
この問題についてHackerOneに連絡する必要はない可能性が高いです。HackerOneは、ディスコースで再現可能なエクスプロイトを発見した人向けです。「パスワードを忘れました」フォームの期待される機能が原因であると思われます。
編集:あなたはサイトの管理者ですか?もしそうなら、あなたのメールアドレスがsite contact username設定に設定されている可能性があります。そのメールアドレスはサイトの「About」ページに表示されます。そこから簡単に取得できます。理想的には、すべてのサイトスタッフがディスコースアカウントで2要素認証を有効にするべきです。