Perfeito!
Eu só complementaria a parte sobre as empresas com sistemas mal programados e vulnerabilidades óbvias. Às vezes é mesmo porque o encarregado daquilo não entende o problema, mas muito frequentemente não corrigir é decisão de negócio.
Grande parte do trabalho de um alguém que realmente trabalha em segurança da informação é justamente ter um bom entendimento das operações da empresa que está sendo avaliada pra conseguir classificar adequadamente os riscos encontrados e ajudar os gestores a priorizá-los corretamente.
Em qualquer organização, alguns riscos sempre são aceitos, normalmente porque o trabalho que daria corrigí-los supera muito o potencial dano que eles poderiam causar.
Mesmo pra bug bounty, é importante buscar esse entendimento prévio sobre o alvo pra entender quais problemas são relevantes e como informá-los da melhor forma nos relatórios.
Quem sai rodando scans em páginas aleatórias esperando ganhar algo geralmente não tem noção de nada disso.