SQL Injection avisado y todavia vigente

Hace un poco mas de un mes que le avisé al administrador de un sitio sobre un problema serio de injeccion de SQL, con el cual se obtenían las contraseñas de los administradores de diferentes partes del sitio, le mandé un detalle de cada una de las pruebas que hice y que resultaron vulnerables, a lo que me respondieron que ya tenían una semana de estar trabajando en ello, sin embargo hoy por hobbie volví a probar y el sitio seguía aún estando vulnerable por todos lados.

Viendo mas detenidamente el sitio en cuestión veo que fue hecho por una empresa multinacional dedicada al rubro, aún no me decido si avisarles también, considerando que las personas encargadas ya deberían de haberlo hecho.

Digo, si alguien me dice que mi sitio web esta mostrando las contraseñas de los administradores y que de esta forma se puede agregar, borrar o editar.... en lo personal si no lo puedo arreglar... pues deshabilito el acceso... pero fue triste ver la preocupación de esta gente y mas cuando leo sus políticas de seguridad:

La seguridad de toda la Información Personal que pueda identificar a los usuarios es lo más importante para nosotros. Nosotros ponemos gran cuidado para procurar una transmisión de información segura de su computadora personal a nuestros servidores.

Desafortunadamente, ninguna transmisión de datos en Internet podrá ser garantizada al 100%. Como resultado, en la medida que nos esforzamos en proteger la Información Personal, no es posible asegurar, garantizar o responsabilizarse de la seguridad de la información transmitida a nosotros o transmitida desde nuestros productos o servicios en línea, en el entendido que usted lo hará bajo su propio riesgo.

Una vez que recibamos la transmisión haremos nuestro mejor esfuerzo para asegurar la seguridad de la información personal en nuestros sistemas.

Para todas las transacciones electrónicas e información financiera relacionada, el Sitio utiliza el protocolo de seguridad Secured Socket Layer (SSL) para transferir datos del navegador al servidor, utilizando certificado digital en el servidor web respaldado por la empresa TWATWE SGC CA.

Marco en negrita la parte interesante, será que están poniendo todo su esfuerzo para asegurar la información de los usuarios, al final.. es resonsabilidad del usuario no? al entrar puedo ver correos, nombres , etc de los mismos... y esta gente no ha hecho nada en mas de un mes por arreglar lo mas minimo! claro, la responsabilidad es del usuario...

Ante este tipo de situaciones a veces dan ganas de publicar las cosas como para hacer un "Mini-reto en vivo" y es que vagando por internet uno puede encontrarse con tantos sitios que son vulnerables de alguna manera a este tipo de cosas... por ejemplo podemos hablar de un sitio con un concurso para ganarse un ipod... o se imaginan si el padrón electoral fuera vulnerable y todos nuestra información anduviera por ahi? ooppss... no estoy asegurando que lo es... posiblemente si lo sea, posiblemente no... con algún poco de tiempo es probable que si... en fin basta de trabalenguas y a los administradores y webmasters, mas vivos!