Die rechtliche Lage ist unklar, wir werden schließlich von technisch minderbemittleten Kacknoobs regiert.
Mein Vorgehen:
Mailaddresse mit Fakeangaben z.B. bei Proton über eine TOR Verbindung einrichten und dann per Mail Kontakt aufnehmen. Selbst wenn es undankbare A***löcher sind, wird die Staatsanwaltschaft sich die Ohren brechen, wenn sie versuchen an deine wirkliche IP zu kommen, da in Protonlogs nur IPs des Tor Netzwerks auftauchen. Falls Proton der Staatsanwaltschaft nicht schon mitteilt "Fuck you, we dont care, we dont cooperate with scum".
Vllt hat der Anbieter sogar eine security.txt , in diesen Fällen kann man entspannt mit seiner normalen Mailadresse Konakt aufnehmen, Wer eine security.txt auf seinen Servern hat, hat idR auch ein Infosec Team und ist dankbar für den Hinweis. Manchmal erhält man dann auch den Auftrag beim Schließen der Schwachstelle mitzuwirken und danach die Wirksamkeit mit einem weiteren Pentest zu validieren.