Beetje afhankelijk wat je "Grote hack" noemt. Als je een manier hebt gevonden om alle inloggegeven van Gmail te bemachtigen zou ik het gewoon bij Google melden, met een POC zullen ze snel genoeg reageren.
Het je een webwinkel o.i.d. gehacked, meld het eerst bij de beheerders. Dan nog is het afhankelijk van de impact, is het een onontdekt lek in een veelgebruikt stuk software of is het te wijten aan het niet updaten van de betreffende software? In het eerste geval zou ik eerst de vendor waarschuwen. Als je overal 0 op het rekest krijgt (wat ik in het geval van een serieuze "grote hack" niet voor kan stellen) dan kan je overwegen de media in te schakelen of het lek op bijv. pastebin te openbaren.
Probeer het iig zo veel mogelijk met de betreffende bedrijven op te lossen, mochten deze inadequaat reageren dan kan je alsnog -al dan niet anoniem- de publiciteit opzoeken. Als het serieus genoeg is kan dat vast wel via deze site.