Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
Подробно описывает уязвимость и как ее зафиксить.

Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.

Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".