Qual é exatamente o seu relacionamento com a escola? Parece que você está pedindo a outras pessoas maneiras de encontrar vulnerabilidades em seu sistema e depois levá-las a elas, mas se você não trabalha para elas ou não faz parte do sistema delas, eu questionaria se é o lugar certo para você tome este caminho para fazê-lo. Muitas organizações desaprovam hackers de chapéu branco que quebram seus sistemas como um projeto paralelo.
Se você quiser trabalhar com eles, talvez queira entrar em contato com o departamento de TI deles e discuti-los com eles, ou falar com os representantes da diretoria da escola e ver se eles podem organizar alguma coisa (ou o superintendente). Explique suas preocupações e veja se você pode trabalhar com elas, abordando os problemas em uma carta.
Existem muitos scanners de vulnerabilidades no Google, mas tenho certeza de que, se o distrito deles é típico de outros distritos escolares (é uma escola pública nos EUA?), eles têm pouco pessoal e orçamento curto. Eles não ficarão felizes com pessoas intencionalmente passando o dedo em seus sistemas e, em seguida, acenando um sinal para eles dizendo: "Ei, veja o que eu fiz ao seu sistema!"
Entre em contato com eles. Entre em contato com o pessoal de TI (eles devem ter endereços disponíveis). Trabalhe com eles. Se eles não estão interessados em ter uma avaliação de sua segurança e a diretoria da escola não está interessada nisso, então eu diria, deixe-a ir, porque há coisas melhores para você investir seu tempo e eles aprenderão uma lição quando um auditor de estado passa por suas configurações ou algo de ruim acontece. E você não quer ser implicado em nada disso. Muito ruim ficar envolvido nisso se isso acontecer.