Questo è un buon cambiamento che hai fatto per aumentare la perdita di privacy nella tua app. Da un punto di attacco, esiste un altro modo per identificare l'e-mail registrata nel tuo sito o meno. Ma questo dipende da come hai implementato il tuo processo di autenticazione, le prestazioni dei tuoi server web ecc.
Normalmente memorizziamo la password dell'utente come hash nel DB insieme al valore salt (spero che tu abbia fatto lo stesso?). Quindi, se il processo di login identifica un messaggio di posta elettronica esistente nel tuo DB, allora calcola l'hash della password specificata e prova a confrontare gli hash. Calcolare l'hash della password fornita richiede un po 'di tempo. Quindi, cosa può fare un aggressore, confrontare i tempi di risposta dalla tua pagina di accesso e identificare le email che richiedono più tempo per rispondere.
Come rimedio a questo tipo di attacco. Devi controllare manualmente il tempo di risposta nella tua pagina di accesso su una costante.