Esto es definitivamente una fuga de información confidencial. La privacidad exige que, como titular de una cuenta, mi saldo bancario no se divulgue a personas aleatorias. Es posible que a algunas personas no les moleste esa divulgación, pero la mayoría considerarán que se trata de una violación de su privacidad.
¿Cuál es el nivel de este exploit (riesgo, medio, bajo)?
Esto es subjetivo para el medio ambiente, pero diría que en este caso el riesgo para la privacidad es 'alto'.
¿es ético pedir un premio o dinero antes de decirles qué es?
el problema?
La respuesta a esto es, de nuevo, subjetiva. ¿Tienen un programa de recompensas por errores en el que ofrecen recompensas por tales revelaciones? Si es así, entonces es ético que informe el problema y reclame la recompensa. Si no tienen un programa de recompensas, escribiría un correo electrónico a su equipo de TI o de seguridad con los detalles de sus hallazgos sin esperar nada más que un "agradecimiento" (que puede o no recibir).
En caso de que no reciba respuesta de ellos y no corrijan la vulnerabilidad, es posible que desee obtener una divulgación completa en un foro público después de esperar un determinado período de tiempo.