Kerentanan user enumeration juga didapatkan pada fitur forgot password pada aplikasi target ini. Ketika pengguna menginputkan username yang sudah terdaftar pada saat melakukan register, maka aplikasi akan mengirimkan pesan User not found . Untuk lebih jelasnya dapat dilihat pada gambar dibawah ini.
Alih-alih menggunakan respons tersebut, lebih baik menggunakan respons lain yang tidak memberikan informasi kepada pengguna lain/penyerang. Respons yang dapat diberikan seperti If the user is registered, a password reset token will be sent via email baik ketika username valid atau tidak.
