基本规则是，如果一个网站没有负责任的披露政策，任何负责管理其公共资源的安全团队都表明他们既不关心其资源的安全性，也不会考虑来自随机人员的任何报告。如果我在某些大公司的网站上发现一些重大问题，我会通过正确的沟通渠道报告并提醒他们几次，应该是这样。

电话那头的人非常咄咄逼人，告诉我去远足（使用不太友好的语言）并告诉我我与他们网站的 IT 部门无关。

你是一个无名小卒，他是对的。我猜他不知道诸如漏洞赏金，独立安全研究员之类的事情。所以他几乎不可能尊重你的任何东西。有很多网站所有者生气并为研究人员制造问题的案例。明智的做法是放手去寻找其他可以欣赏你努力的地方。如果他们询问您为什么在我们的网站上产生此类恶意流量，他们没有书面政策或程序可以为您辩护。

当人们不熟悉 IT 时，我如何让他们相信漏洞和披露的重要性？特别是当没有电子邮件联系是可能的？

在这种情况下，要对各自的人进行说服，在这里你没有联系。您不能随意向拿起电话或通过 Facebook 等社交媒体渠道发送报告的人解释他们网站的弱点。这不是负责任的披露。

正确的做法是在不解释问题的情况下，在他们的官方联系电子邮件中询问他们的安全团队的联系信息。如果您确实得到了官方回应，那么请采取相应的行动，否则他们不在乎，您也不应该在乎。您可以每周发送两到三个礼貌的提醒，仅此而已。