Добрый день.
Предположим, что вы случайно обнаружили уязвимость в ASP.NET, позволяющую получить полный доступ к SQL базе данных Application Services (http://msdn.microsoft.com/en-us/library/bb547119.aspx), в частности к таблицам aspnet_Users и aspnet_UsersInRoles, расположенную на любом сайте, построенном на этой технологии (любые сайты на Битрикс, например). Причем для получения этого доступа не требуются больших ресурсов или времени, это не брутфорс. В общем, при написании небольшой программы, вы можете получить доступ к любому сайту, достаточно ввести адрес этого сайта.
Что бы вы сделали?

Шантаж, конечно.

И МОЛЧАЛ !

Обычно человек, способный найти уязвимости такого рода, хорошо знает, что с этим делать.
Либо самому использовать, либо продать заинтересованным лицам.
Если отослать в майкрософт - не факт, что это дойдет до тех, кто закроет брешь, а не уйдет на сторону от того, кто занимается разбором почты. В итоге кто-то заработает, а ты не получишь даже письма с благодарностями, за бугром же тоже всем кушать хочется.

А уле тут еще думать?!!!