Strafanzeige zum Selbermachen

Ich surfe gerade mal wieder durch das weite, weite Internet und stoße dabei auf eine ziemlich offensichtliche SQL Injection. Ich will nicht zu sehr ins Detail gehen, aber es ist keine kleine Seite. Wie auch immer. Wenn man sowas entdeckt ist man ja immer so ein bisschen hin und her gerissen zwischen INSERT, DROP und E-Mail schreiben. Da es im normalen Leben keine Hacker-Ethik Hotline gibt spielt man ein bisschen rum und versucht selber, vielleicht mit Hilfe einiger Freunde auf die richtige Lösung zu kommen. Doch neben dem bösen TOR an, DROP raus gibt es noch einen Weg der eventuell noch böser ist. Was passiert, wenn ich den DROP-URL in eine tinyurl packe und sie an eine unbeliebte Person schicke. Unbeliebte Person(TM) wird auf den Link klicken. Wird auf die verwundbare Webseite weiter geleitet. Der DROP Befehl wird ausgeführt. Die Tabelle oder je nachdem die ganze DB ist futsch. Die Admins wundern sich. Wenn sie keine Logs in der Webapp haben, dann haben sie zumindest den Apache Access Log. Recht schnell werden sie die IP finden die ihnen die DB gedroppt hat. Guckt da noch jemand in der Referer? Speichert der Apache den überhaupt? (Ich hab gerade nur nen lighttpd) Wie schwer wird es der Unbeliebten Person(TM) fallen zu beweisen, dass er/sie sich gerade nicht der Computer Sabotage (Strafbar nach § sonstwas) schuldig gemacht hat. Und wenn ich die Person nicht dazu bekomme ne tinyurl anzuklicken dann pack in den Call in ein Bild auf myFacebookVZ.

Ich hab übrigens keine der Alternativen wahrgenommen.