Póngase en contacto con la escuela por cualquier medio necesario. Sin duda habrá un formulario de "contacto con nosotros" en el sitio web; Si no, levante el teléfono y hágales un favor y llámelos. Incluso si están en un país diferente, las llamadas VoIP son bastante más baratas hoy y estoy seguro de que puede pagar el costo.
Explique la situación con buenos detalles, dejando claro que su intención no es exponer la privacidad de nadie ni pedir un rescate, sino que está cumpliendo con su deber como ciudadano responsable. Esto se debe a que, a menudo, los que no son técnicos tienden a entrar en pánico y llaman a la policía para señalarle al culpable.
Si puede, ofrezca su consejo sobre cómo proteger el servidor web o explique qué se debe hacer para que puedan verificar su consejo de manera independiente, por ejemplo. a OWASP o haciendo preguntas sobre Security Stack Exchange.
Ofrecer cierto grado de información personal, por ejemplo. cómo ponerse en contacto con usted, cuál es su nombre y hacer que su correo electrónico sea lo más profesional y educado posible. Es muy probable que haya ocurrido como un error genuino, por lo que no es necesario agregar combustible al fuego que generará.
Imagina que la persona en el extremo receptor es, por ejemplo, tu abuela (o cualquier persona que no sea tecnóloga, sin ofender a las abuelas). ¿Cómo se lo explicarías? ¿Qué detalles ofrecerías primero?
Asegúrate de que cc: otras personas, p. el director, el subdirector, etc., para que no pueda haber "su palabra contra la suya" si se trata de un litigio.
Por último, si cree que los datos expuestos son realmente peligrosos, deje en claro que informará de ello a la policía si no recibe una respuesta antes de XXX días (sea razonable y tenga en cuenta las vacaciones escolares).