Provavelmente não há nada com que se preocupar. O Discourse enviará essa mensagem para o endereço de e-mail de um usuário se alguém clicar no link “Esqueci minha senha” no formulário de login de cadastro e inserir o endereço de e-mail do usuário no formulário:
Não há nada que impeça alguém de inserir qualquer endereço de e-mail no formulário. Esta é a prática padrão para lidar com senhas esquecidas na web. O recurso de segurança integrado é que o e-mail de redefinição de senha só é enviado para o endereço de e-mail inserido no formulário, portanto, a menos que a pessoa que acionou o e-mail também tenha acesso à caixa de entrada do e-mail, ela não poderá acessar o site.
Você pode considerar habilitar a autenticação de segundo fator em sua conta do Discourse. Isso lhe dará uma camada extra de segurança na remota possibilidade de alguém ter acesso à sua conta de e-mail. Você pode habilitar a autenticação de dois fatores na página de Segurança da sua conta do Discourse. Se tiver algum problema para configurá-la, você pode obter ajuda aqui.
É improvável que você precise entrar em contato com o HackerOne sobre o problema. O HackerOne destina-se a pessoas que descobriram uma exploração repetível no Discourse. Acho que o que você está lidando é a funcionalidade esperada do formulário “Esqueci minha senha”.
Editar: você é um administrador no site? Se sim, é possível que seu endereço de e-mail esteja definido na configuração nome de usuário de contato do site. Esse endereço de e-mail é exibido na página Sobre do site. Seria fácil para alguém retirá-lo de lá. Idealmente, toda a equipe do site habilitará a autenticação de dois fatores em suas contas do Discourse.