L'OP ha probabilmente preso una decisione, ma per i lettori futuri aggiungerei la mia opinione. Dal momento che hai menzionato un "consiglio scolastico" presumo che si tratti di una scuola superiore, e presumo che non abbiano nemmeno un programma di bug bug. In ordine di preferenza.
- Se sai chi, segnalalo al personale IT che gestisce il sistema, probabilmente non l'helpdesk della tua scuola. Lo farei in modo anonimo se non li conosci personalmente.
- Segnalalo a qualcuno che è molto esperto di tecnologia e ti conosce bene (ad esempio un CS o un altro insegnante che solo veramente capita per ottenere la tecnologia e non lo farà per un minuto sospetto di aver commesso un errore). Chiedi che mantengano le informazioni anonime.
- Segnalalo in modo anonimo alla persona più pertinente tramite e-mail, da un'email / remailer che non può essere rintracciata. Cerca di non rendere l'e-mail comunque sospetto.
Il punto è questo: se il distretto scolastico ha effettivamente detto agli studenti di non "hackerare" i computer, quello che vuoi fare in modo di non fare è dire al tipo di persone che hanno scritto quel documento. Sarai un "hacker inviato dalla Russia" nelle loro menti, inevitabilmente ti fraintenderanno, ti accuseranno di aver violato qualcosa, di metterti nei guai.
La seconda cosa è che se gli amministratori della scuola / della scuola scoprono per davvero che è o più probabilmente fraintendono che avrebbe compromesso i dati degli studenti, apprezzeranno davvero che i loro superiori non sappiano. Tu non vuoi essere coinvolto nella politica scolastica. Ancora una volta, la cosa migliore da fare è un rapporto silenzioso e anonimo per la persona di livello più basso che ha il controllo più diretto sul sistema e la risolverà rapidamente, in modo silenzioso e competente.
Non dimenticare mai di considerare in che modo un rapporto su un white-hat potrebbe farti male prima di inviarlo.