Mmm non so quanto possa essere legale o meno, ma di sicuro entro pochi giorni tutte le vulnerabilità verrebbero fixate. Fai prima a partecipare a qualche programma di bug bounty o comunicare le tue scoperte direttamente ai proprietari del sito e rimedieresti pure qualche soldino