Добрый день.
Предположим, что вы случайно обнаружили уязвимость в ASP.NET, позволяющую получить полный доступ к SQL базе данных Application Services (http://msdn.microsoft.com/en-us/library/bb547119.aspx), в частности к таблицам aspnet_Users и aspnet_UsersInRoles, расположенную на любом сайте, построенном на этой технологии (любые сайты на Битрикс, например). Причем для получения этого доступа не требуются больших ресурсов или времени, это не брутфорс. В общем, при написании небольшой программы, вы можете получить доступ к любому сайту, достаточно ввести адрес этого сайта.
Что бы вы сделали?

Написал бы в Microsoft, подождал бы ответа в течении двух недель. Если ответа нет, то далее собщил бы сообществу. Если ответ есть, то подоговоренности.

Я бы написал в Микрософт. И скромно попросил бы их выслать мне чек на сумму, которую, по их мнению, не жалко за обнаружение подобной уязвимости