Buscar fallos de seguridad y reportarlos a una empresa no es buena idea. Primero de todo porque aunque no se haga de mala fé, en la intrusion o manipulación de datos puedes eliminar información importante con sus consecuencias.
Segundo, puedes sin querer perjudicar a la seguridad de la empresa rebajando su proteccion, por lo que otros atacantes con muy malas intentciones puedes casualmente aprovecharse.
Tercero, en ésta vida exíste lo que se llama libertad, y la libertad de uno acaba donde empieza la de otro. Por regla en internet se debería pensar lo mismo, la libertad de una red y lo que ocurre en ella acaba donde empieza otra red. Así que nada de jugar a los mercenarios como hace mucha gente.
No es raro ver gente que cuenta que ha recibido una denuncia o no han recibido una compensación económica por encontrar algún fallo sin permíso de la empresa afectada, pues normal.
Perdon pero tranquilamente podes reportar el fallo a la empresa misma , sin hacerlo publico,con los detalles para poder arreglarlo. Luego que lo arreglen , se hace publico el fallo que habia.
Con respecto a "se puede eliminar informacion" , no creo que alguien que busque fallos en alguna empresa sea tan tonto para no saber lo que esta realizando. Ademas , se podria contactar a la empresa y pedir permiso.Ellos podrian hacer un backup por las dudas y dar el ok cuando se puede intentar acceder. Se beneficiarian bastante ya que tendrian a mucha gente trabajando en la seguridad de su aplicacion(Como hace facebook) pagando casi nada comparado a lo que deberian pagar si contratan a esa gente. Ademas solo pagan si se encuentra algo.
Para cerrar el tema, no se necesita una sección de esto.Simplemente busca en la red que hay varias empresas que te permiten realizar esto y pagan(ej Facebook , Google). Hace poco a un brasilero le pagaron 33k usd porq encontro una falla en facebook (RCE) , que a mi criterio , no es nada lo que le dieron , comparado a lo que le hubiesen dado en el mercado negro.