可能没什么好担心的。如果有人在“注册”登录表单上点击了“我忘记了密码”链接,并在表单中输入了用户的电子邮件地址,Discourse 就会向该用户的电子邮件地址发送该消息:
没有任何东西可以阻止任何人向表单输入任何电子邮件地址。这是处理网络上忘记密码的标准做法。内置的安全功能是密码重置电子邮件仅发送到表单中输入的电子邮件地址,因此,除非触发电子邮件的人还可以访问电子邮件收件箱,否则他们将无法访问该网站。
不过,您可以考虑在您的 Discourse 帐户上启用双因素身份验证。这样可以为您提供额外的安全层,以防有人可以访问您的电子邮件帐户。您可以从 Discourse 帐户的“安全”页面启用双因素身份验证。如果您在设置过程中遇到任何问题,可以在这里获得帮助。
您不太可能需要就此问题联系 HackerOne。HackerOne 是为发现 Discourse 中可重复利用的漏洞的人准备的。我认为您所处理的是“我忘记了密码”表单的预期功能。
编辑:您是该网站的管理员吗?如果是,您的电子邮件地址可能已在 site contact username 设置中设置。该电子邮件地址显示在网站的“关于”页面上。有人很容易从中获取它。理想情况下,所有网站员工都应在其 Discourse 帐户上启用双因素身份验证。