Direi che ha molto da fare con l'ordine delle operazioni:
Estorsione:
- trova vulnerabilità
- contatta l'azienda e richiedi il pagamento
Squadra tigre:
- contatta l'azienda e negozia il contratto
- trova le vulnerabilità
A meno che non sia già stato impostato un bug, provare a trovare vulnerabilità e hacking è più o meno lo stesso senza un contratto preesistente.
Conosco alcuni consulenti indipendenti / di piccole dimensioni che riescono a guadagnarsi da vivere lavorando come tigri per le aziende. Direi che la parte più difficile è ottenere la reputazione, in modo che tu possa presentare alla società che dovresti essere la persona che pagano per questo lavoro.