Mettiti in contatto con la scuola con ogni mezzo necessario. Ci sarà sicuramente un modulo "contattaci" sul sito web; in caso contrario, prendi il telefono e fagli un favore e chiamali. Anche se si trovano in un paese diverso, le chiamate VoIP sono piuttosto più economiche oggi e sono sicuro che puoi permetterti il costo.
Spiega la situazione con buoni dettagli, chiarendo che la tua intenzione non è quella di esporre la privacy di nessuno né di chiedere un riscatto, ma che stai facendo il tuo dovere come cittadino responsabile. Questo perché spesso i non-techie tendono a farsi prendere dal panico e chiamano la polizia che ti indica il colpevole.
Se sei in grado di, offri i tuoi consigli su come proteggere il webserver o spiegare cosa dovrebbe essere fatto in modo che possano verificare autonomamente il tuo consiglio andando ad es. a OWASP o fare domande su Security Stack Exchange.
Offri un certo grado di informazione personale ad es. come mettersi in contatto con te, come ti chiami e rendere la tua e-mail il più professionale e educata possibile. È molto probabile che sia accaduto come un vero errore, quindi non c'è bisogno di aggiungere benzina al fuoco che genererà.
Immagina che la persona sul lato ricevente sia ad es. tua nonna (o qualsiasi non-techie - senza offesa per le nonne là fuori). Come lo spiegheresti a loro? Quali dettagli vorresti offrire prima?
Assicurati di cc: altre persone, ad es. il preside, il vicepresidente ecc. in modo che non ci possa essere "la tua parola contro la loro" se si tratta di contenzioso.
Infine, se ritieni che i dati esposti siano davvero pericolosi, chiarisci che segnalerai questo alla polizia se non ricevi una risposta entro XXX giorni (sii ragionevole e prendi in considerazione le vacanze scolastiche).