Mastodonのセキュリティインシデントを発見した場合、報告すべき窓口はこちらです。
https://github.com/mastodon/mastodon/security

Misskeyのセキュリティインシデントを発見した場合、報告すべき窓口はこちらです。
https://github.com/misskey-dev/misskey/security

それぞれ説明とあわせて、報告フォームへのリンクがありますので、そちらでご報告ください。

なお、MastodonもMisskeyも、サーバの設置者がソフトウェアに改造を加えている場合があります。

あるいは、別の名前がついて広く配布されているフォークを利用している場合もあります。

問題・原因が本家にあるのか、フォークやサーバ毎の改造にあるのか、通常は利用者にはわかりません。

どこに報告したら良いでしょうか？

判断がつかない場合は、サーバの管理者に報告するのが良いと思います。

サーバの管理者としては、利用者に対し報告窓口をあらかじめ案内しておくことが重要になります。

Fedibirdについては、何らかの方法で私に伝えていただければOKです。ミンナニナイショダヨ

Fediverseのソフトウェアにも時々、欠陥が見つかることがあります。

通常の不具合は、つながらなくなったり、一部の機能が使えなくなる程度で済みますので、状況を知らせて速やかに修正適用という対応で済みますが、

意図されていない結果が生じたり、許可されていない操作が実行できてしまったり、見えてはいけない情報の閲覧を許すものなど『セキュリティインシデント』については、

問題発生時点で情報を公開・共有すると、対応前に欠陥を利用して悪用する者が現れ、被害が拡大します。

ついては、

・公開の場で問題を報告してはいけない

→ 必ず専用の窓口へ報告して、口外しないこと

・開発者は直ちに問題を修正し、アップデートを公開する

→ セキュリティアップデートであることを明示するが、公開時点では具体的な内容を説明できない

・サーバ設置者は、セキュリティアップデートを遅滞なく適用する

→ ある程度アップデート適用が行き渡るのを待って問題が公表されるが、公表時点でアップデート未適用のサーバは直ちに危険にさらされる

という対応が必要になります。

サーバの利用者も、サーバ管理者も、開発者も、どのように行動すべきか共有されていないと、対応を誤ったことにより取り返しが付かなくなるので、よく覚えておいてください。