Wenn das so ist, dann war das schon etwas ungewöhnlich.
Der normale weg sieht doch so aus:
Jemand findet ein Sicherheitsloch und informiert den Hersteller.
Der Hersteller reagiert meist nicht in angemessener Zeit*.
Der Finder geht an die Presse.
oder:
Jemand findet ein Sicherheitsloch und verkauft die Information an Kriminelle oder Geheimdienste, informiert jedoch nicht die Presse.
* Mit angemessener Zeit für eine Reaktion meine ich eine Antwort die auf das Problem eingeht innerhalb von 10 Werktagen, nicht eine automatische Eingangsbestätigung und auch nicht die Zeit bis zum Ausrollen eines Bugfixes.