Cara, cuidado. Notificar falhas assim o resultado final vai depender muito de quem ler sua notifiação.

Por regra você é proibido de buscar qualquer falha em um site sem ser formalmente solicitado. A unica falha que talvez fosse aceitado é:

1. Estava acessando o site, coloquei o usuario e senha errado e mesmo assim logou
2. Acessei a url e passei a informação do ID x errado e carregou uma informação que não é minha
3. Minha internet estava lenta e enquanto carregava apareceu uns menus que eu não tenho acesso.

Porque as falhas acimas são validas de notificar sem ter problemas, pois elas em teorias são acidentais e não procuradas intencionalmente.

Agora se tu precisou acessar o inspetor do chrome para achar a falha, mostra que tu já estava tentando fazer algo além de acessar o site.

Fazendo uma comparação com o mundo real, voce vê um carro estacionado, ninguem te pede mas voce vai lá e tenta entrar nele (abrir sua tranca), se o dono ou a policia te pegar, pouco provavel que voce dizer (estava tentando ajudar) vai funcionar, isso porque o carro é privado e você não pode mexer sem a autorização do dono. O sistema segue o principio similar.

Se você pegar um dono bacana, o cara vai te agradecer, arrumar e vida que segue.
Se o cara for chatão, vai chamar a policia rsrs.

Enfim, mas se mesmo assim você acredita que deve informar (eu mesmo sabendo dessas coisas tem muito site que eu vou e informo), a minha recomendação é:

1. Acesse uma VPN de confiança de preferencia de outro pais.
2. Crie uma conta de email (pode ser o proton como foi citado)
3. Se possivel escreva em inglês
4. Não tente ganhar nada em troca com isso

E por fim não tenha esperança que irá arrumar, já peguei problema em mais de 50 sites e desses apenas 2 corrigiram. Então não se fruste se ignorar.

Sinceramente e perca de tempo reportar esse tipo de coisa pra sistemas do governo eles simplesmente vão ignorar e o erro vai continuar lá.

Olha, eu nunca precisei fazer isso, mas se você mandar por aqui provavelmente nada vai te ocorrer. Tentei achar algo relacionado ao MCTI, mas sem sucesso. Se você detalhar que estava fazendo um estudo pessoal de segurança do site deles talvez seja mais claro a sua "inocência"

sinceramente na minha humilde opinião eu ficaria calado, eu também ja reportei uma vez uma falha gravíssimo no sistema de segurança na empresa que trabalha, fiz todo um documento bem explicadinho de como funciona e até hj, só nada, nunca fizeram nada nunca recebi crédito por ter achado tal falha.

Lembro também de um podcast onde o YouTube Gabriel Pato (um hacker ético) falava que tinha tentando reporta para o governo uma falha também se segurança mas os caras só queriam saber em quem ele ia votar.

Tem muitos exemplos que eu poderia dar de relatos, sinceramente se você buscar a fundo vai ver que até em sistemas bancários eles não tão nem ai.

Resumindo: só esquece e finge que nunca viu

Quem te avisou que é perda de tempo teve o comentário negativado, mas eles estão certos.

É de conhecimento geral de quem é da área de segurança que os sistemas do governo do Brasil são cheios de falhas de segurança. Literalmente até existem casos de crianças (sim, crianças) explorando vulnerabilidade em sistemas do governo. "Todo mundo" sabe disso, mas ninguém reporta falha nenhuma.

É consenso que é uma péssima ideia reportar falha de segurança nos sistemas do governo brasileiro. Não perde seu tempo procurando mais falhas. Você vai achar com muita facilidade, mas vai dar ruim pra você.

— Ah, mas e a ética... pipipi, pópópó

Esquece! Já passamos por isso. Já tentamos. Já dialogamos. Não funciona. Só aprende com o erro dos outros e não coloca a mão nesse vespeiro.

EDIT: Podem colocar meu comentário em -999999 que essa vai continuar sendo a realidade.

Meus 2 cents,

Aqui tem os emails de contato (via email):

https://www.gov.br/cisc/pt-br/incidente

Faca uma conta no proton e mande por la (se quiser ficar anonimo).

https://proton.me

Se quiser garantir o anonimato, acesse o proton usando um navegador tor.

https://www.torproject.org/

Mande com copia para: [email protected]