Это почти наверняка подделка. «Спам по вопросам безопасности» — серьёзная проблема. Но отвечать на такие сообщения в духе: «О, большое спасибо! Мы очень рады, что вы обнаружили эту серьёзную уязвимость. Пожалуйста, как можно скорее сообщите об этом на Hacker One, чтобы получить причитающиеся вам деньги» — вероятно, лучший способ показать руководству, что вы выполняете свою работу, и одновременно заставить спамеров замолчать.
Удачи!