Bom dia! Sim, já passei por isso DIVERSAS vezes.

Há ~4 meses foi o pior caso, ainda em uma empresa de RH, vários bancos de dados acessíveis, senhas|ips|logins de SSH expostos, até fui respondido com a justificativa que "o responsável entrará em contato", no fim, acabei sendo bloqueado em todas as redes que entrei em contato com eles e não corrigiram, pode até ser a mesma empresa que você encontrou. Acredito que não posso dizer o nome, provavelmente, pois apenas quem pode cometer irregularidades são elas (empresas), se fizermos qualquer coisa (pesquisadores), lá vamos no tribunal em tempo recorde.

Ainda reportei para uma das maiores provedoras de internet do país, vazando todos os dados, permitindo falsificar um envio de e-mail e enviar em nome deles para qualquer pessoa com qualquer conteúdo: Ignorado, tive que mandar mensagens durante ~8 meses (SEM CORRIGIR NADA), sendo até bem "mal atendido", só faltou chamarem a polícia.

Não há o que fazer, a ANPD vai jogar pra outro, outro vai jogar pra ANPD, ainda é uma burocracia que só (já tentei várias vezes).

Simplesmente não pesquiso mais em empresas brasileiras, nem em programa de Bug Bounty são eficientes, imagina sem qualquer programa, é isso aí pra pior.

O que fazer? Ignorar, evite dor de cabeça.