Ich denke das ist auf jeden Fall die richtige Handhabung damit, lieber so als versuchen jeden zu verknacken der nach Sicherheitslücken sucht.

Besser so, als das die Unternehmen nichts von den Lücken wissen, und daher kriminell ausgenutzt werden können.
So werden die Leute dafür belohnt, das Unternehmen vor Attacken bewahrt zu haben. Sollten meiner Meinung nach viel, viel mehr Unternehmen so machen, da man ja leider nicht selten zu lesen bekommt, dass die Hinweise unbeantwortet bleiben und die Lücken auch nach Wochen nicht geschlossen sind...

mfg,
dainless