Pois como alguém da área, você deveria saber melhor que qualquer um que bug bounty NÃO É (repito: NÃO É) o que o Marcos descreveu. Isso de sair procurando vulnerabilidade em site aleatório na internet NÃO é a mesma coisa que bug bounty (feito em plataformas como HackerOne, BugHunt etc.). Não é.

Vou repetir de novo para garantir que fui compreendido: não é a mesma coisa!

Bug bounty são programas criados pelas empresas que estipulam regras, escopos etc. e pré-autoriza que profissionais (seguindo as regras) façam análise de vulnerabilidades nas plataformas (e não, bug bounty não é pentest).

Bem, e talvez você esteja se perguntando: por que é diferente?

Por dois motivos:

1. A empresa concordou com isso, afinal ela criou o programa de bug bounty.
2. A empresa tem estrutura para lidar com isso.

Entenda, colega: empresas que abrem programas de bug bounty já tem um certo nível de maturidade de segurança. Já fazem pentest regularmente, tem SOC, CSIRT, red team/blue team etc.

Não é uma empresa aleatória qualquer que nem sabe o que é segurança da informação. Quem faz isso de sair procurando vulnerabilidade em site aleatório é gente sem noção, procurando por grana fácil. Porque sabem que é fácil encontrar vulnerabilidades em sites aleatórios na internet. É moleza, mamão com açucar. Por isso gostam de fazer isso, pra alimentar o ego e mentirem para eles mesmos que são "hackers" ou "profissionais de segurança".

Bem diferente de programas de bug bounty públicos onde a empresa tem um nível de maturidade de segurança alto. Inclusive é o que eu sugiro quando perguntam para mim: a empresa não pode abrir programa de bug bounty sem, antes, ter um time de segurança competente.