Salvei uma empresa de uma multa de R$50M? Deveria ter cobrado?

Oi TabNews.

Recentemente fiz meu primeiro report (vale como report?) de falha de segurança para uma empresa... uma empresa bem grande de vendas online, um dos maiores ecommerce que temos no BR...

Por muito pensei se escreveria ou não sobre este caso, mas após descobrir um caso muito similar que a RAZER teve no passado, me senti na necessidade de compartilhar esta bomba. Pois através de uma simples má configuração no AWS, notas fiscais deste ecommerce estavam disponíveis ao público, sou um mero iniciante na área de cibersegurança, ainda no início da minha graduação e com muito pouco conhecimento técnico, então não fui capaz de encontrar mais, porém ao todo foram cerca de 8 notas fiscais.

O problema? Temos uma lei chamada Lei Geral de Proteção de Dados e informações presentes em uma nota fiscal, como CEP, número de celular e CPF são extremamente sensíveis.

Caso alguém queira reportar um incidente de segurança, deve ir à ANPD (Agência Nacional de Proteção de Dados) e a multa pode chegar a 2% do faturamento anual da empresa, com o máximo de R$50 milhões.

Ao descobrir isso, escrevi um e-mail à empresa solicitando que arrumassem, pois estava ferindo a lei nacional, não denunciei à ANPD e também não cobrei nada, fui direto no e-mail, afinal, foi uma questão muito simples (para mim), apesar de que, pensando depois, a questão era muito séria (para eles).

Como já citado, eu não iria escrever este e-mail até ter lido sobre o caso da RAZER, também teve um caso de um rapaz no linkedIn que em uma situação muito semelhante conseguiu um contrato de R$30 mil (mas o caso dele foi através de pentest, o meu foi uma simples busca no google).

Deveria ter cobrado? Qual seria o jeito certo de cobrar? Acho que fiquei com medo de levar processinho kk