Hace poco visité el sitio web de una empresa grande y confiable que sirve un script malicioso (es una imitación de una de las principales aplicaciones de análisis, con un error tipográfico intencional en la URL de origen). Además, la compañía atiende a un nicho de mercado y es probable que no tenga un gran equipo de tecnología, por lo que su sitio web no se configuró con HTTPS.
Afortunadamente, mi software antimalware bloqueó el script, por lo que decidí mirar al menos la página de destino para ver si hay algún tipo de contacto administrativo (o incluso de soporte).
Al no encontrar uno y no encontrar nada útil después de hacer una consulta de WHOIS, me di cuenta de que aceptan mensajes de Facebook a través de su página oficial.
¿En general, es arriesgado notificar a una empresa de una vulnerabilidad que utiliza dichos canales no oficiales?