A los que les gusta la seguridad, que les parece buscar paginas de instituciones, buscar vulnerabilidades y luego enviarles una nota, 3 días después publicarlas por todo lado, adjunta la nota de que ya se les avisó que tienen las cosas mal hechas?
hacer como unos “crackatones”
Suena bien siempre y cuando tengamos algun respaldo de que no se pongan a cazar brujas como le ha pasado a otros white hats por ahí que por querer ayudar los terminan persiguiendo
lo podemos hacer anonimo
pero sería cool no hacerlo anónimo
se puede averiguar si existe alguna implicación legal al tener el resultado del primer sitio
Esto además de una buena idea es un deber cívico 
Hay lugares que inclusive motivan a que esto se haga (e.g., https://www.utwente.nl/nl/lisa/ict/security/hall-of-fame/)
Sólo un par de notas para el antes, durante y el después.
Antes: No aprender a hacer pen-testing con los sitios reales. Tal vez hacer una capacitación antes de empezar con algunas de estas (https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project) y hasta después empezar con los sitios reales. Esto es importante porque si dañan algo mientras están aprendiendo con los sitios reales puede que les apliquen la ley de delitos informáticos.
Durante: Creo que en CR no hay nada parecido a una guía nacional para hacer “responsible disclosure”. La mejor que he visto es esta: https://www.ncsc.nl/binaries/content/documents/ncsc-en/current-topics/news/responsible-disclosure-guideline/1/Responsible+Disclosure+ENG.pdf Sueño con que CR algún día impulse con caracter oficial (i.e., desde el MICITT) una como esa o simplemente una traducción de esa.
Después: 3 días es demasiado poco. Especialmente si es de gobierno, 3 meses es algo un poco más realista. Yo he hecho esto varias veces con instituciones públicas y la respuesta (cuando la hay) es muy lenta.
La última vez que lo hice fue el Agosto pasado y ni siquiera me han respondido el correo. La vulnerabilidad sigue ahí.
Yo decía 3 días para poner mucha presión
Pero me parece correcto esperar más tiempo
Yo sé que es muy feo proponer y no ayudar activamente 
, pero bueno. Por lo menos para que lo consideren. Pura vida.