Si un amigo mio encuentra una vulnerabilidad en una web y anda escaso de efectivo, ¿es legal/ilegal pedir dinero por la vulnerabilidad?

¿Ilegal?

Perdonad que me meta con esta pregunta medianamente "filosófica":
-Si una web tiene un bug, el que encontró ese bug, ¿no podría decir que ese bug "era parte del desarrollo normal" de la web? En caso de que le denunciasen me refiero.
Por ejemplo, una vulnerabilidad de tipo XSS, podría decirse que "creía" que era parte de la web.

Me gustaría que me desmintieseis esta afirmación.

No desmiente mi frase anterior.

No es ilegal en ninguna parte del mundo, de hecho no hay ley contra ello.

Busca mas información sobre políticas de full disclosure, Google tiene su propia política, Apple tiene otra, Microsoft tiene otra y así.

Si la empresa donde encontraste la vulnerabilidad no tiene ninguna política sobre full disclosure expuesta en su mismo sitio WEB entonces podrás hacer lo que estimes conveniente con lo encontrado y será absolutamente legal.

El tema del full disclosure es un tema larguiiiiiiiisimo y ampliamente discutido por muchas grandes compañías, actualmente este tema está a nivel "filosófico" tal como dijo implícitamente ivancea96 ya que puedes publicar a quien sea lo descubierto o puedes decirselo por correo de forma interna y ambas maneras son 100% legales.

Si lo que quieres es simpatizar con el dueño de la empresa y obtener un trabajo entonces hablale por interno a traves del correo del gerente de la empresa, no del webmaster o del contacto técnico ya que el administrador del sitio no va a querer perder su trabajo, haces todo un informe bien detallado sobre como sacar provecho de dicha vulnerabilidad y es muy muy muy importante que mensiones que nada de sus sistemas fue comprometido durante el análisis ni penetraste en sus datos confidenciales pero que alguien mas si podría hacerlo.

Con esto no podrá realizar ninguna acción legal contra ti y quedará en un dilema moral sobre si dejar su agujero de seguridad abierto o llamarte para que lo arregles.

Cuando tu entras a un sitio WEB estas viendo un sistema a nivel de "vista" o sea solamente el código que se interpretará en tu navegador, en este caso el html, javascript etc y es de código abierto, por tanto nadie te puede prohibir algo que es público, por algo la página está en un servicio público WEB.

Lo que no puedes hacer y si está penado por la ley en algunos paises es entrar y destruir, modificar cosas, obtener datos ocultos que pueden ser la base de datos, datos personales de personas, etc... todo aquello que pueda traer un problema de privacidad de datos.

Todo lo demás que sale por el servidor es público, por lo tanto no es privado.

Por ejemplo:
Encontrar un XSS es legal.
Encontrar una backup de datos personales con tarjetas de crédito y descargarlos y venderlos o publicarlos es ilegal, si lo descargas no es ilegal porque estaba público, si lo descargas a traves de un LFI por ejemplo es ilegal porque te aprobechaste de un agujero de seguridad para obtener un dato privado del servidor, no era público.

Tiro de hemeroteca:

"- Eso es Ilegal - (Marge Simpson) - Eso que lo decida el Juez - (Homer Simpson)"