Cuando esté pensando en la posibilidad de una acción legal, lo primero que debe hacer es tomar una copia de toda la máquina. Preferiblemente frente a testigos independientes, pero eso está al borde de las cuestiones legales y no estoy en condiciones de dar asesoramiento legal, incluso si este sitio lo permite. Obtenga el asesoramiento legal adecuado antes de hacer cualquier cosa.
Una vez que tenga una copia segura como evidencia, puede ponerse y arreglar las cosas. Claramente, en este caso, se ha dado cuenta de una serie de errores de codificación / seguridad, por lo que debería solucionarlos en un servidor que no está conectado a Internet.
Has aprendido una lección valiosa y, con poco costo, me parece. Esperemos que la próxima vez, sea un poco mejor probando las vulnerabilidades de su código antes de ponerlo en Internet.
¿En cuanto a si hay acciones que puede tomar en contra de la persona que ha encontrado? Además de darles las gracias por ayudarlo a mejorar como programador ;-) Todo lo que voy a decir es que la venganza nunca es una buena idea.
Legalmente, es probable que tengas poco de qué seguir, ¿tenías términos y condiciones claras en el lugar que desalentaran a alguien a hacer uso de las vulnerabilidades? ¿Lo que hicieron fue incluso ilegal en su región? Solo agradece y sigue adelante.