вообщем я считаю что это тупо... вот нашел я допустим уязвимость на микрософт.com - пишу Биллу Гейтсу мол так и так вот тут у тебя уязвимость - гони мое бабло! а он скажет мол типа спасибо - пофиксит по быстрому и ничего не заплатит. Или еще хуже после этого приедут ФСБ или маски-шоу и будут "брутфорсить" меня руками и ногами пока я им не расскажу нафига я уязвимости искал...
Странные мнения, чтобы находить багу нужны знания, опыт, интуиция. При поиске прикладываются стараняи - посути получается та же самая работёнка, причём не самая лёгкая, дак почему же не платить за это бабки? Идефендс давно проводит акции по скупке дыр в известном ПО и правильно делает, и багоискатели довольны и организация рада. Не надо обращатся напрямую к производителю, идите туда где за ваш труд легально заплатят деньги.