Может быть мне просто везло, но мои попытки сообщить о какой-либо уязвимости НИКОГДА не расценивались как взлом. Оставляют без элементарного "спасибо" и исправляют уязвимость часто, ещё чаще благодарят (на вознаграждение я всегда намекаю), но ни разу не пытались угрожать.
На всякий случай вы можете сообщить об уязвимости анонимно