Supponiamo che tu sia un ricercatore di sicurezza che trova vulnerabilità e segnala ai fornitori di provare a ricevere una taglia del bug. Se il venditore non è disposto a pagare alcuna taglia per qualsiasi vulnerabilità, semplicemente non rivelare il bug e mantenerlo privato. Il problema rimane aperto.
Tuttavia, il venditore vende il proprio prodotto a probabilmente centinaia di clienti vulnerabili al bug, che sicuramente non vogliono rimanere vulnerabili, dal momento che potrebbero potenzialmente subire perdite finanziarie significative se qualcun altro lo ha trovato e lo ha usato rubare informazioni, o peggio.
Quali sono gli argomenti legali ed etici per contattare i clienti del fornitore, informandoli dell'esistenza del bug, spiegando le potenziali perdite (sei cifre) e utilizzandolo come leva per convincere il fornitore a trovare il bug da solo (se possono), o ti pagano la taglia di bug desiderata?
Finché il bug esiste davvero e non stai spaventando i clienti per niente, e il venditore è più che capace di trovare il bug da solo se non sono disposti a pagarti per la sua divulgazione, sarebbe questo si sbaglia a fare? L'opzione alternativa di lasciare il bug da solo e mantenere tutti i clienti vulnerabili, non sembra nemmeno un'opzione molto etica, anche se a breve termine crea meno problemi per il venditore.
Qualsiasi consiglio sarebbe apprezzato.