Questa è sicuramente una perdita di informazioni sensibili. La privacy richiede che, in qualità di titolare di un conto, il mio saldo bancario non venga divulgato a individui a caso. Alcune persone potrebbero non essere disturbate da tale divulgazione, ma la maggior parte considererà una violazione della loro privacy.
What is the level of this exploit (risk, medium, low)?
Questo è soggettivo per l'ambiente, ma in questo caso direi che il rischio per la privacy è "alto".
is it ethical to ask for a prize or money before telling them what is the problem?
La risposta a questo è, ancora una volta, soggettiva. Hanno un programma di bug bug in cui stanno offrendo premi per tali divulgazioni? Se sì, allora è etico per te segnalare il problema e rivendicare il premio. Se non hanno un programma di taglie, vorrei scrivere una e-mail al loro team IT o di sicurezza con i dettagli delle tue scoperte senza aspettarti altro che un "grazie" (che potresti o non potresti ottenere).
Nel caso in cui non riceviate alcuna risposta da loro e non correggano la vulnerabilità, potreste voler ottenere la completa divulgazione in un forum pubblico dopo aver atteso un certo periodo di tempo.
Leggi altre domande sui tag ethics banks vulnerability exploit