Existem alguns sites que nao seguem essa regra de dar uma mensagem generica, acredito que para melhorar a experiencia do usuario.
Por exemplo, o gmail voce coloca primeiro o seu email e voce pode ficar tentando ate achar um email valido e depois voce coloca a senha, aparentemente isso nao é o mais seguro porém o proprio google adota isso.
Conseguem entender esse caso?
Realmente, você está certo. Porém certamente o Google é provido de diversos outros mecanismos que auxiliam a mitigar esse risco. Por exemplo: rate limiting ou algo como um número limite de tentativas mal sucedidas ("você errou 3x, se errar novamente você será bloqueado" ou algo do gênero). O rate limiting funciona de forma semelhante, porém tem como intuito bloquear muitas requisições em um intervalo de tempo ("máximo de 15 requisições por minuto, por exemplo").
Isso de certa forma ajuda. Já que o esforço para adivinhar uma senha ou um email aumenta significativamente.