Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?