En cuanto al tutorial, muy bien hecho, muy currado y bien explicado, se entiende muy fácil
Pero, no creo que esto pudiese considerarse un "bug" de SMF (ya que lo posteaste en esta sección), porque en realidad lo que estás haciendo es modificando el código fuente del SMF para que te de la password del usuario descifrada y tal, pero no es un bug en sí mismo...
No sé si me entiendes...
Aunque quizás, tiene que ver con la seguridad de SMF...pero no sé, yo no lo consideraría bug...
Por otra parte, si realmente lo que quieres es ver lo que tiene el usuario en su cuenta, puedes cambiarle su password por otra que tu quieras, y listo...
Pero evidentemente, sin saber su password anterior...
De todos modos, lo único para lo que se me ocurre que podría valer esto es para hacer un "scam", y si queremos sacarle la password en cuestión al usuario, por si usa la misma password en otro sitio...
Pero nah, tendría que ser un usuario muy desprevenido para usar la misma password en varios sitios...