А мог просто воспользоваться программой по поиску багов и получить хоть какие-то деньги за свою деятельность. Он же реально открыл уязвимость. Компании за это нормально платят на самом деле. Тем более если уязвимость подвергает опасности данные сотен миллионов пользователей.