XSS ve rce açığı raporlanırsa dava açılır mı?

Az önce arkadaşımın çalıştığı otelin web sitesinde rce ve XSS açığı buldum. Kötü bir niyet kesinlikle yok. Sizce mail yoluyla iletişime geçip zaafiyeti raporlarsam bana dava açarlar mi? Tatil şehrinde 3 yıldızlı bir otel.

Normalde izinsiz bug araştırması yapmak suçtur. Fakat iyi niyetli olduğun anlaşılır. Nasıl fixlemesi gerektiğinden de bahset veya referans ver derim.

Firmaların kendi bug bounty programları dışında araştırma yapmak suç, eğer bounty programı yoksa zaten yapmanız doğrudan bir saldırı öncesi hazırlık olarak değerlendirilebilir. Ancak bu şekilde yaklaşacaklarını sanmıyorum, kendilerine durumu detaylıca izah eden bir rapor hazırlayıp açığı nereden kapatmaları gerektiğini de belirten bir rehber hazırlarsanız sorun olmaz.

Benzer bir durumu bounty programı bulunmayan bir Türk kargo firması için ben de yapmıştım yıllar önce, müşteri kimlik bilgilerini görüp manipüle etmeyi sağlayan ciddi bir açıktı, detaylıca rapor oluşturup kendilerine ilettim, sorun olmadı ve açığı kapattılar.