Мне случайно пришло письмо от Discourse о том, что кто-то запросил сброс моего пароля. Я смотрел фильм, когда пришло это письмо — это было страшно. Я сразу же сменил пароль и ключ аутентификации.
Может ли кто-нибудь, пожалуйста, разобраться в этом? Я напуган.
Скорее всего, беспокоиться не о чем. Discourse отправляет такое сообщение на адрес электронной почты пользователя, если кто-то нажимает ссылку «Я забыл свой пароль» на форме входа и вводит адрес электронной почты пользователя в форму:
Никто не может помешать кому-либо ввести любой адрес электронной почты в форму. Это стандартная практика обработки забытых паролей в интернете. Встроенная функция безопасности заключается в том, что письмо для сброса пароля отправляется только на адрес электронной почты, указанный в форме, поэтому, если человек, инициировавший отправку письма, не имеет доступа к почтовому ящику, он не сможет получить доступ к сайту.
Тем не менее, вы можете рассмотреть возможность включения двухфакторной аутентификации на своей учётной записи Discourse. Это обеспечит дополнительный уровень безопасности на случай, если кто-то получил доступ к вашему почтовому аккаунту. Включить двухфакторную аутентификацию можно на странице «Безопасность» вашей учётной записи Discourse. Если у вас возникнут трудности с настройкой, вы можете получить помощь здесь.
Маловероятно, что вам нужно обращаться в HackerOne по этому вопросу. HackerOne предназначен для людей, обнаруживших повторяющуюся уязвимость в Discourse. Я думаю, что вы столкнулись с ожидаемым поведением формы «Я забыл свой пароль».
Редактирование: вы администратор на этом сайте? Если да, то возможно, что ваш адрес электронной почты указан в настройке «Имя пользователя контактного лица сайта». Этот адрес электронной почты отображается на странице «О сайте». Кто-то мог легко получить его оттуда. В идеале весь персонал сайта должен включить двухфакторную аутентификацию на своих учётных записях Discourse.
Спасибо за быстрый ответ, и я думаю, вы правы!
У меня нет страницы регистрации, только страница входа. Прямо над ней есть короткое сообщение с моим адресом электронной почты для связи, и, похоже, кто-то воспользовался этим адресом, чтобы создать ссылку «Забыли пароль». Это хитро! Я изменил адрес электронной почты, и теперь он не привязан ни к какой учётной записи.
Огромное спасибо! Когда это произошло, я в смятении перебирал множество вариантов, пытаясь предусмотреть все возможные исходы.
Двухфакторная аутентификация была включена с самого начала.
Ну, это было ложное срабатывание, и я рад это констатировать. От всего сердца хочу выразить благодарность за удивительную платформу, которую создал Discourse. Мне очень приятно её использовать!! 
Такие письма всегда немного пугают, так что я тебя понимаю.
На самом деле в моём ответе была опечатка. Ссылка «Забыли пароль?» находится на модальном окне входа, а не регистрации, поэтому, скорее всего, они просто нажали на неё и попали в форму.
Это отлично!
Технически, я не считаю, что для запроса сброса пароля нужно знать адрес электронной почты учетной записи — достаточно имени пользователя.
Если имя пользователя общедоступно, любой может ввести его в форму «Забыли пароль», и на адрес электронной почты будет отправлено такое сообщение.
Угрозы безопасности нет, пока почтовые ящики защищены.
Понимаю, что для кого-то это может спасти жизнь, но в то же время способно спровоцировать сердечный приступ.
Есть ли способ отключить это для конкретного имени пользователя?
Также есть ли какие-либо шаги, которые вы бы порекомендовали для этого?
Не используйте бесплатные и сомнительные почтовые сервисы, за исключением Gmail и Hotmail, но включая mail.ru, alibaba и другие. Используйте надежные пароли и VPN при подключении к бесплатным или иным ненадежным Wi-Fi сетям. Это стандартные меры безопасности.
Однако это не имеет отношения к Discourse.
Я пользователь Apple и подписан на iCloud+, который предлагает функцию Private Relay (по сути, VPN).
Да, я использую очень сложный и длинный пароль, рекомендованный системой и сохранённый в связке ключей iCloud.
Хватит ли этого?
Вы можете использовать административную настройку «Скрывать наличие адреса электронной почты», после чего для запросов сброса пароля будет требоваться полный адрес электронной почты:
Советы по созданию пароля для вашей учётной записи электронной почты выходят за рамки этого форума, хотя, уверен, вы найдёте хорошие ресурсы, предлагаемые вашим провайдером электронной почты, для этого. 
Как уже упоминал Jakke, это зависит от вашего почтового сервиса. iCloud, вероятно, достаточно безопасен, но я не эксперт в этой области.
Часто доступна опция двухфакторной аутентификации, что означает, что для входа требуется как пароль, так и физический ключ безопасности или код аутентификации, сгенерированный приложением для аутентификации.
Я полагаю, что сообщение говорит о том, что если вы не запрашивали это сообщение, то беспокоиться не о чем. Верно?
При сбросе пароля здесь, в Meta, в письме говорится:
«Кто-то запросил сброс вашего пароля. Если это сделали не вы, вы можете смело игнорировать это письмо.»
Вероятно, это сообщение можно настроить так, чтобы для разных сайтов оно было разным.
В опции сброса пароля также указано обращаться к сотрудникам Discourse, если у кого-то нет доступа к электронной почте, но неясно, каков их процесс в таких случаях.
Администратор может изменить (почти) любой текст здесь. Просто перейдите в admin > customize > text.
Даже этот текст довольно общий, и он подходит для (почти) любых форумов — просто потому, что так устроены вещи, запрос нового пароля не представляет никакого риска для безопасности. Это может быть немного раздражающим, если это происходит довольно часто (как это было с Instagram некоторое время назад).
Это было полезно, спасибо!!
