De meeste beveiligingslekken zijn minder dan 4.000 euro waard, zo blijkt uit onderzoek onder beveiligingsonderzoekers en hackers. Unsecurity Research vroeg onderzoekers aan wie ze beveiligingslekken verkopen en wat ze ervoor krijgen. Er zijn verschillende beloningsprogramma's, waarbij hackers gevonden kwetsbaarheden kunnen verkopen.

Zero-day
De koper verwerkt de informatie in de eigen beveiligingsproducten, waardoor klanten van die producten tegen zero-day lekken beschermd zijn. Tevens wordt de leverancier of ontwikkelaar van de getroffen software ingelicht, zodat die een patch kan ontwikkelen. Op deze manier hoeven beveiligingsonderzoekers niet met partijen als Microsoft en Adobe te communiceren en krijgen ze een vergoeding voor hun werk.

Een vergoeding die over het algemeen onder de 4.000 euro ligt. Slechts een handjevol onderzoekers lukte het om lekken voor meer dan 12.000 euro te verkopen, waarbij sommigen zelfs meer dan 24.000 euro kregen. Het beloningsprogramma van SecuriTeam blijkt in dit geval het meest op te leveren. Verder blijkt dat er ook genoeg onderzoekers zijn die geen beloningsprogramma gebruiken en direct aan een geïnteresseerde partij het gevonden lek verkopen.