Eu nunca contrataria você, trabalhando para empresas de médio porte que me contatam o tempo todo para oferecer serviços e vender kits. Varredura de segurança, gerenciamento de licença de software, hardware, serviços de rede gerenciados etc etc. Mas eu nunca uso uma empresa que me ligue de repente e tente colocar um pé na porta. É simplesmente uma prática contra a qual eu aconselho.
No entanto, eu levaria seu e-mail a sério e entraria em contato com um fornecedor de segurança de minha escolha para dar uma olhada e ver se eles podem encontrar um problema.
Mesmo que você tenha dito que era "para ganho pessoal", eu suspeitava que você tentaria obter contratos ou que algo não estava correto. Eu não questiono suas habilidades, apenas a prática é muito duvidosa.
Até suspeito que algumas empresas enviam seu e-mail para uma ação judicial e tentam processá-lo ou até mesmo colocar uma ordem sobre a vulnerabilidade que você encontrou para impedir que você compartilhe as informações com outras pessoas.
Resumindo, não faça isso.