Скорее всего, беспокоиться не о чем. Discourse отправляет такое сообщение на адрес электронной почты пользователя, если кто-то нажимает ссылку «Я забыл свой пароль» на форме входа и вводит адрес электронной почты пользователя в форму:
Никто не может помешать кому-либо ввести любой адрес электронной почты в форму. Это стандартная практика обработки забытых паролей в интернете. Встроенная функция безопасности заключается в том, что письмо для сброса пароля отправляется только на адрес электронной почты, указанный в форме, поэтому, если человек, инициировавший отправку письма, не имеет доступа к почтовому ящику, он не сможет получить доступ к сайту.
Тем не менее, вы можете рассмотреть возможность включения двухфакторной аутентификации на своей учётной записи Discourse. Это обеспечит дополнительный уровень безопасности на случай, если кто-то получил доступ к вашему почтовому аккаунту. Включить двухфакторную аутентификацию можно на странице «Безопасность» вашей учётной записи Discourse. Если у вас возникнут трудности с настройкой, вы можете получить помощь здесь.
Маловероятно, что вам нужно обращаться в HackerOne по этому вопросу. HackerOne предназначен для людей, обнаруживших повторяющуюся уязвимость в Discourse. Я думаю, что вы столкнулись с ожидаемым поведением формы «Я забыл свой пароль».
Редактирование: вы администратор на этом сайте? Если да, то возможно, что ваш адрес электронной почты указан в настройке «Имя пользователя контактного лица сайта». Этот адрес электронной почты отображается на странице «О сайте». Кто-то мог легко получить его оттуда. В идеале весь персонал сайта должен включить двухфакторную аутентификацию на своих учётных записях Discourse.