Durante la visualizzazione dei bounty bug, ho notato che la maggior parte dei bug bounty elenca l'enumerazione degli utenti nell'elenco escluso. Ad esempio, per forzare brute account utente, i moduli password dimenticati rientrano generalmente in questa categoria.
Questo mi ha fatto pensare al motivo per cui in generale omettono le vulnerabilità di enumerazione degli utenti? I siti web non si preoccupano dei nomi utente trapelati sui loro moduli o di un bot che esegue la scansione per creare account automatici?
Questa domanda non riguarda nessuna particolare webapp, voglio solo sapere la ragione generale alla base di questo.