È quasi certamente una truffa. Lo “spam di sicurezza” è un grosso problema. Ma rispondere loro con “Oh, grazie mille! Siamo molto felici che tu abbia trovato questo grave problema. Ti preghiamo di segnalarlo a Hacker One al più presto per ottenere i soldi che giustamente ti spettano” è probabilmente il modo per dimostrare ai tuoi superiori che stai facendo il tuo lavoro, mettendo a tacere anche gli spammer.
Buona fortuna.