Не обязательно ее найдет "злой хакер", может вполне законопослушный специалист, который не задается целью использовать уязвимость, а готов получить за нее обещанный приз.
Сколько ты таких специалистов знаешь, которые вместо высокооплачиваемой работы
занимаются ерундой бесплатно ищут уязвимости в браузере яндекса. Есть, но мало.
Это точно. Пол-миллиона российских рублей, не та сумма, чтобы опытный программер тратил свое время на выявление уязвимости. Трудозатраты однозначно выше. Еще и рассматривать будут, какую уязвимость ты нашел. А если их там десятки, как разделят деньги?