Buenas.

Soy de España y yo creo que no tomarían acciones legales. Vaya, les faltaría sentido común. Encima que te ayudan, lo denuncias? No creo que hagan eso..  A no ser que te hayas beneficiado de ese fallo para hacer algo y te pillen, pero si lo has hecho tampoco tendría sentido decirles nada. Pero también he de admitir que me daría mal rollo y desconfiaría si alguien me esta trasteando la web..

Yo hace un tiempo, en la web de mi instituto encontré un pequeño fallo de seguridad el cual encontrando el usuario admin, con un ataque fuerza bruta en el login de wordpress se sacaba fácil la contraseña, y se lo comenté a mi tutor. Me miró sorprendido cuando eso, pero mas allá de eso, no se enfadaron ni nada por el estilo, al contrario.
Pero claro, la situación es diferente.

Un saludo.

Buenas.

Si jajjaja, todo un clásico.

Pues sinceramente yo dejaría un mail anónimo o se lo comentaría a la Guardia Civil y que ellos se pongan en contacto. No sospecharían de ti si les explicas todo con detalle. Ademas, pensarían que eres un suicida poniéndote en contacto directamente con la "ley". De todas formas te dejo un enlace el cual hablan muy bien de este tema, y hay gente que también dan sus opiniones y explican anécdotas y experiencias suyas.

https://www.elladodelmal.com/2008/07/cmo-avisar-de-un-bug-en-una-web.html

Cómo vas a reportar a la policía que vulneraste la seguridad de un sitio, servidor o aplicación sin permiso? Estamos locos?

Te pueden denunciar si fuerzas la cerradura de la puerta de una casa y se lo dices al dueño? Mira te forcé la cerradura para ver si sé forzarla. xDDD

Es 100% ilegal. Solo puedes hacerlo legalmente en páginas y servicios que tengan un programa de bug hunting y te autoricen a realizar penetraciones. Y ojo, aún teniendo un programa de bug hunting puedes estar cometiendo un delito. Muchos sitios dan guidelines, cuentas especiales y condiciones para realizar este tipo de tests de penetración, si te sales de ellos te puede denunciar. Por ejemplo te pueden prohibir usar un scanner automático o ataques de fuerza bruta ya que esto genera gastos al servidor, consume banda ancha, y hasta podrías tirar un servidor sin querer, cargarte una base de datos importante, y demás. Piensa que puede haber miles de usuarios realizando a la vez tests automáticos perjuicando el uso del sitio a sus clientes probocando un DoS no intencionado que podría acabar en una sentencia que te haga subsanar el coste. Dinero perdido, factura de un informático para que les "arregle" o se encarge del servidor caído, gasto energético, reputación del sitio, costes a clientes...

Si lo reportas te aconsejo organizar bien el mensaje, tus intenciones, todo lo que hiciste, lo que encontraste, como lo encontraste, los riesgos que supone y sobre todo COMO ARREGLARLO. Para que se interprete que el objetivo del test de penetración es mejorar la seguridad del sitio, y no que eres un chabal trasteando, aunque sea para aprender xD.
Puedes incluir un script de ejemplo para solución al problema, algún link que lo explique en detalle, un video, etc. Ten en cuenta que tienen logs de todo lo que hiciste, asique no mientas, porque podrían pensar que tienes otras intenciones.

Si es una persona razonable te dará un gracias. Pero eso no lo sabes.

Te dejo parte de uno de los últimos reportes que hice por si te ayuda. Siempre suelo usar este formato para reportar un par de bugs concretos. Para bugs que afectan a muchas partes de la aplicación lo redacto distinto. Lo subo a pastebin que el waf del foro bloquea scripts. Reporte

Entiendo tu razonamiento, solo decirte que son temas distintos pero también depende de la situación, pues estoy seguro que habrá gente a la que le importe más que entren en su web que en su casa.
Imaginate una persona cuyo sustento dependa única y exclusivamente de una web y que si esa web es vulnerada (ya sea de manera altruista o no) adquiriera una fama pésima y perdiese todos sus clientes/usuarios. Entiendo que el hecho de que entren en tu casa puede asustar más (otra vez repito depende de la persona) pero en este caso en concreto e hipotético creado por mi sería peor que burlasen la seguridad de tu web.

Mi humilde consejo (sin saber demasiado), tener mucho cuidado pues hay gente muy desagradecida.