Firmaların kendi bug bounty programları dışında araştırma yapmak suç, eğer bounty programı yoksa zaten yapmanız doğrudan bir saldırı öncesi hazırlık olarak değerlendirilebilir. Ancak bu şekilde yaklaşacaklarını sanmıyorum, kendilerine durumu detaylıca izah eden bir rapor hazırlayıp açığı nereden kapatmaları gerektiğini de belirten bir rehber hazırlarsanız sorun olmaz.
Benzer bir durumu bounty programı bulunmayan bir Türk kargo firması için ben de yapmıştım yıllar önce, müşteri kimlik bilgilerini görüp manipüle etmeyi sağlayan ciddi bir açıktı, detaylıca rapor oluşturup kendilerine ilettim, sorun olmadı ve açığı kapattılar.