Куда писать по поводу уязвимости на сайте без багбаунти?
Суть такова: есть довольно хороший проект, нашёл на нём критичные уязвимости, но у них нет багбаунти.
Куда можно обратиться по этому поводу, и можно ли вообще расчитывать на награду в этом случае?
Можно написать администрации - контактные данные как правило указаны.
и можно ли вообще расчитывать на награду в этом случае?
Зависит от ситуации, найденных уязвимостей и текущего настроения владельца сервиса.
Я бы сказал что шансы следующие -
50% - вам просто не ответят, или отпишутся стандартной фразой
30%- вам скажут спасибо.
19%- вам резко ответят, и возможно начнут предъявлять претензии и угрожать судом.
1%- вам изъявят желание заплатить.