Nesses casos aí, eu tento algumas abordagens, em ordem

1. checar se tem um security.txt no site, tipo esse https://www.google.com/.well-known/security.txt e enviar pelo canal indicado os detalhes
2. se não existe, security.txt, tento mandar um email avisando pra emails institucionais da empresa, tipo [email protected], [email protected], [email protected]
3. se o vazamento for realmente grande e a empresa não respondeu mesmo assim, mandaria os detalhes pra alguém da imprensa tentar cutucar, tipo @felipepayao