Как грамотно уведомить владельца сайта о наличии уязвимости?

Добрый день! Занимаюсь пентестом, периодически тестирую случайные сайты и нахожу там уязвимости. Результат разный: бывает, есть возможность слить базу с персональными данными. По факту получается несанкционированный доступ к конфиденциальной информации (хотя и без разглашения или дальнейшего использования в корыстных целях). В соответствии с законодательством РФ, сам факт неправомерного доступа к КИ с использованием нештатных средств АИС является нарушением. Отсюда вопрос: как грамотно с юридической точки зрения сообщить о дыре владельцу сайта, чтоб не выставили потом злодеем? Пока мысль такая: просто сообщать о наличии уязвимости и о ПОТЕНЦИАЛЬНОЙ возможности ее эксплуатации, в результате чего ВОЗМОЖЕН НСД к КИ.

UPD Задача сделать максимально открыто, официально.

UPD2 Сайт достаточно крупный, реализует масштабные проекты, поэтому и появился интерес к сотрудничеству с ними. Написал им на почту. Пока ответа нет. Если будет что-то интересное, напишу здесь.