Eso de que descubren el XSS y en el mismo dia lo publican aqui... bueno.
En mi opinion deberian de esperar a que el bug este corregido.
Si, eso lo entendí más tarde... dejar un tiempo prudencial después de reportar.
De los errores se aprende.
Gracias,
PS: aunque dudo que esa organización empeore su imagen por esto... :s