ich vermute dass der Webseitenbetreiber mit ein paar dubiosen Andeutungen dazu bewogen werden soll die Login-Credentials preiszugeben. Im nächsten Schritt wird damit dann die Webseite übernommen und ein Lösegeld gefordert. Da nicht genauer beschrieben wird um was für eine Lücke es sich handelt, kann die erste Email pauschal an alle webmaster@irgendeine-domain geschickt werden. Wer darauf antwortet, kommt in die engere Wahl...
Ich wäre daher in einem solchen Fall weiterhin äußerst vorsichtig damit, irgendwelche Email-Anhänge zu öffnen oder auf Links in den Emails zu klicken, wenn der angebliche Hinweisgeber nicht konkret im Emailtext angeben kann, bei welchem Formular welche Eingaben genau ein Sicherheitsproblem darstellen sollen. Und schon gar nicht Admin-Passwort für eine angebliche kostenlose Reparaturaktion herausrücken. Per PM hier im Forum an die Core-Entwickler ja, aber nicht per mail an irgendeine Adresse, von der man nicht weiß wer da überhaupt dahinter steht.
Übrigens: Dass du dich hier bei den WB-Entwicklern rückversucherst, ob in der Richtung irgendwas bekannt ist, ist genau das richtige was du tun kannst.