Al jugar con un sitio, he descubierto un gran problema de seguridad. La cuestión es que, si les cuento, podrían preguntarse qué estaba haciendo yo en primer lugar.
Estaba intentando hackear la cuenta de mis amigos. No estaba planeando hacer nada con eso. Estaba muy curioso y quería probar algo. No pensé que funcionaría porque era una de las grandes empresas del mundo. Sin embargo, lo hizo!
Lo sé, lo que hice estuvo mal y nunca lo volveré a hacer, pero por ahora, ¿qué debo hacer?
Acaba de encontrar el problema, no se aprovechó de la falla y nunca tuvo la intención de hacer daño (supongo que no haría ningún daño a sus amigos).
Sin embargo, todas las empresas deberían estar contentas si les informas el problema. Las grandes empresas como Twitter o Facebook incluso pagan bonitas recompensas por esto.
Puede consultar HackerOne si la empresa de la que habla está en la lista. En caso de que lo sea, simplemente siga adelante y envíe un problema. No tiene que preocuparse por el escenario "Traté de piratearlos, enviarán a la policía y me arrestarán". En caso de que no esté en la lista, intente navegar en su web si ellos mismos ofrecen algún tipo de programa de recompensas. Si no lo hacen, aún puede enviar el problema a su soporte, etc.
Lea otras preguntas en las etiquetas web-application account-lockout