Nesses casos aí, eu tento algumas abordagens, em ordem

1. checar se tem um security.txt no site, tipo esse https://www.google.com/.well-known/security.txt e enviar pelo canal indicado os detalhes
2. se não existe, security.txt, tento mandar um email avisando pra emails institucionais da empresa, tipo contato@empresa.com, security@empresa.com, tecnologia@empresa.com
3. se o vazamento for realmente grande e a empresa não respondeu mesmo assim, mandaria os detalhes pra alguém da imprensa tentar cutucar, tipo @felipepayao