Troy Hunt, makalesinde şirketlerin veri ihlallerini bildiren güvenlik araştırmacılarına karşı sergilediği şüpheci ve çoğu zaman yanıtsız kalan tutumu ele alıyor. CloudPets örneğinde, halka açık bırakılan bir MongoDB veritabanı ve S3 depolama alanındaki çocuk ses kayıtlarına erişim sağlayan verilerin ifşa edilmesine rağmen, şirket CEO'su "rastgele bir kişiye veri ihlali hakkında yanıt vermeyeceklerini" belirtmiştir. Benzer şekilde, Adult-FanFiction da ilk bildirimleri görmezden gelmiş, ancak veriler Have I Been Pwned (HIBP) platformuna yüklendikten sonra harekete geçmiştir. Bu durum, meşru güvenlik araştırmacılarının şirketlerle iletişim kurmakta ne kadar zorlandığını gözler önüne sermektedir.
Şirketlerin bu tür bildirimlere yanıt vermekte çekingen davranmasının bir nedeni, dijital şantaj girişimleri veya "beg bounty" olarak adlandırılan durumlarla karşılaşma korkusudur. Bazı kötü niyetli kişiler, aslında ciddi bir güvenlik açığı olmayan, kolayca keşfedilebilen veya halka açık yapılandırma hatalarını (örneğin DMARC kayıtları) sanki büyük bir tehditmiş gibi sunarak para talep etmeye çalışırlar. Troy Hunt, kendi security.txt dosyasına gelen bu tür bir "beg bounty" örneğini paylaşarak, bu kişilerin genellikle önemsiz bulguları abartarak bir ödül koparmaya çalıştıklarını belirtiyor.
Makale, güvenlik araştırmacılarının iyi niyetli çabaları ile şirketlerin bu tür bildirimlere karşı duyduğu güvensizlik arasındaki gerilimi vurguluyor. Şirketlerin, meşru güvenlik açıklarını bildiren "rastgele kişilere" karşı daha açık bir iletişim kanalı oluşturması gerektiği, aksi takdirde gerçek tehditlerin gözden kaçırılabileceği ve "beg bounty" gibi suiistimallerin artabileceği mesajı veriliyor. Bu, hem şirketlerin itibarı hem de kullanıcı verilerinin güvenliği açısından kritik bir sorundur.
Şirketlerin veri ihlallerini bildiren güvenlik araştırmacılarına karşı sergilediği şüpheci yaklaşım, hem gerçek güvenlik açıklarının göz ardı edilmesine hem de 'beg bounty' adı verilen çıkar amaçlı bildirimlerin artmasına neden oluyor.