Tampoco considero que sea ilegal solicitar un dinero a cambio de señalar el/los problemas hallados, especialmente si además se proveen posibles soluciones (alegando que la cuantía es por esto). Puedo estar más o menos de acuerdo en que sea o no ético.
Es cosa de ir a su Web y leerse los términos de servicio, algunos suelen ser muy estrictos por ejemplo:
- Intentar descifrar, descomponer o realizar ingeniería a la inversa de cualquier software que consista o haga parte de los nuestro servicios .
- Sondear, escanear o probar la vulnerabilidad de cualquier sistema o red.
- Violar o burlar de otra manera las medidas de seguridad o autenticación, invadir la privacidad de otros usuarios y buscar contraseñas de acceso y los datos privados, así como modificar los archivos de otros usuarios, sin la autorización previa.
Uno puede añadir lo que quiera (como por ejemplo: '- Llevar zapatos blancos') por que lo es o no legal no lo decide una empresa a base de señalar que no le gusta, para eso están los jueces. - Intentar descifrar, descomponer o realizar ingeniería a la inversa de cualquier software que consista o haga parte de los nuestro servicios .
- Sondear, escanear o probar la vulnerabilidad de cualquier sistema o red.
- Violar o burlar de otra manera las medidas de seguridad o autenticación, invadir la privacidad de otros usuarios y buscar contraseñas de acceso y los datos privados, así como modificar los archivos de otros usuarios, sin la autorización previa.
La empresa lo más que podrá señalar al respecto es que si se enteran de que alguien incumple alguno de los detalles de una lista, darán aviso a sus abogados para perseguirlo... otra cosa es que luego el juez, lo acepte y en tal caso que finalmente ganen.
Claramente, la diferencia en todo el asunto, va a ser la forma de dirigirte a ellos.
Probablemente intentar decir eso de 'causalmente mirando tal cosa encontré un fallo en su seguridad...' no cuele si resulta que para encontrar ese fallo haya de ser muy específico, y por tanto no cabe la excusa de casualidad ninguna.
Yo simplemente les diría algo como: "He encontrado un fallo de seguridad en sus sistemas que permiten el acceso a ...lo que sea, que se detalla... Quería saber si están interesados en regular la situación pués me he esforzado en buscar una solución que resuelve e impide dicho acceso, llegando a algún acuerdo económico, donde les explico con detalle y paso a paso el fallo y luego la solución en los mismos términos. Quedando claro que ante su negativa, no habrá por mi parte posteriores acciones en ningún sentido (tampoco en volverles a contactar). Por último señalarles que igual que yo he encontrado este fallo ...explicas tus capacidades..., otros (mejor preparados, si crees que es el caso) también podrán encontrarlos sin demasiada dificultad".
Tendrías que dejar claro, que la cuantía solicitada es por ofrecer la solución, para la cual has dedicado cierto tiempo, esfuerzo y dinero. A este razonamiento, ellos podrán entonces reclamar que les describas el fallo y ya buscarán ellos la solución y ahí tu siguiente movimiento es lo que delataría si tu actividad roza lo delictivo o no. Quizás ellos intentando proveer una solución vuelvan a dejar otro agujero de otra forma, de la que entonces tú no tendrías nada que ver.
Que decidan darte apoyo o no, va a depender primero de la personalidad con la que toques, y segundo con la cuantía económica que pretendas reclamar frente al costo de no asumir arreglarlo.
...y ante las dudas sería bueno consultar a un abogado especializado en estos casos. Aunque claro, si por su consulta te va a cobrar lo mismo que tu esperas cobrar a dicha empresa, pués pierde toda rentabilidad.