Pues... es un extasis reportar algo y que mejor que ayudar a que la tecnologia sea mas segura. Pero como todo, no todo el tiempo suceden cosas "buenas" por tal motivo algunos prefieren reportar desde dos puntos, el anonimo y en bugbounty.
Anonimo: mandar un correo electronico a la cuenta de admin del sitio, utilizando un monton de tecnicas y juguetes para "mantener" el "anonimato.
BugBounty: Los caza recompenzas que estan detras de los miles de millones de programas donde te pagan por reportar vulnerabiliades.
Algo es seguro, en la mayoria de los casos... no te haran caso, no te daran ni las gracias (aunque solucionen la falla o la vulnerabilidad) y en ocaciones mas minimas te daran algo (reconocimiento, dinero, un producto, etc...)
Algo que te recomiendo es que hagas un buen reporte tecnico sobre la vulnerabilidad y seas muy especifico en el "como explotarla", en las POC.
Mis reportes:
https://www.openbugbounty.org/researchers/drok3r/https://map.httpcs.com/author/26493