¿Se trata de una vulnerabilidad grave? Divulgación de información semi

Tienes razón en que es una divulgación de información, alguien puede descubrir fácilmente los nombres de usuario válidos y luego intentar romper su seguridad. Si yo fuera el dueño del sitio, me gustaría saberlo. Lo ideal sería notificar al propietario del sitio, es posible que tengan una dirección de correo electrónico para eso o un enlace de contacto que podría usar.

La única advertencia es que algunos lugares tienen leyes erróneas contra la piratería que hacen que incluso la piratería ética sea ilegal. Alemania es un ejemplo, aunque en la práctica no parecen estar persiguiendo a personas por realizar actos útiles. Es muy improbable que salga algo negativo de esto, y quién sabe, incluso pueden enviarle una camiseta o pagarle una recompensa por el error.

Esto no es una vulnerabilidad grave, es la enumeración de su nombre de usuario. Por sí misma es una vulnerabilidad de bajo riesgo.

Por sí solo es difícil de usar, ya que necesitas adivinar una dirección de correo electrónico válida para determinar si tienen una cuenta.

Donde se vuelve útil es si tiene datos de violación anteriores con una lista de correos electrónicos y credenciales de texto sin formato. Puede usar la enumeración para determinar si un usuario está registrado y luego probar las credenciales de la violación anterior para intentar obtener acceso.

La razón por la que es baja es, por sí misma, que la información divulgada no es tan útil, solo cuando la encadena con datos de credenciales que pueden coincidir o no con el sistema de destino, ¿será útil?