Eigentlich macht man das so, dass das erraten von existenten Nutzernamen nicht möglich ist.

Sicherheitsrelevante Anwendungen sollten es immer so machen, dass nicht klar wird ob der Nutzername jetzt existiert oder nicht.

Wenn diese Meldung jetzt nur bei diesem Ereignis passiert, ist es ein wenig sinnlos. Aber so ist es zumindest gedacht.
Username Enumeration ist ein (niedriges) Sicherheitsrisiko, was vermieden werden sollte.


Allgemein ist mit bei Kraken schon einiges aufgefallen bezüglich deren Security. Die haben sehr vieles richtig gemacht, was viele andere Exchanges nicht machen.

Zum Beispiel kann man mit dem "Zurück"-button nicht wirklich eine Seite zurück, sondern muss über das Menü neu rein. Das passiert weil die mit One-time-tokens arbeiten.
Mit einem Klick auf das Menü (z.B. Kauf-menü) erhält dein Account einen one-time token um dieses Menü aufrufen zu können. Der nochmalige Aufruf der URL (oder z.B. auch des Post-requests) leitet dich nicht zu dieser Seite weiter.
Der Nutzer muss explizit nochmal auf den Button drücken. Das schützt vor diversen Angriffen.

Die haben bei der Sicherheit einiges richtig gemacht. Da könntens ich andere Exchanges eine Scheibe davon abschneiden.