Tá cagando regra parceiro. Responda pra mim, qual o problema de alguém da área fazer um teste e reportar pra empresa? "Ain, mas é ilegal" e daí? observe a situação, temos um hacker ético sem nenhuma má intenção relatando uma falha que ele encontrou por estar entediado em casa em uma tarde de domingo. Percebe a gravidade da situação? E se fosse um Cracker que estivesse dedicado a achar a qualquer custo uma falha nessa empresa pra fazer coisas ilícitas de verdade?
Primeiro que ninguém da área faz isso, ninguém.
Segundo que o problema é que essas empresas não tem estrutura para lidar com isso, não tem profissionais qualificados para receberem o report e lidarem com a situação e não tem maturidade de segurança para ter um mínimo de qualidade neste quesito. Logo é como um boxeador adulto lutando contra uma criança de 8 anos, ele pode alegar que tá fazendo isso para "ajudá-la" a se defender mas todos sabemos que o real motivo é que ele não dá conta de lutar contra outros adultos e só enfrenta criancinhas que ele sabe que vai ganhar.
Mesmo que não seja uma criança, imagina só um maluco aleatório te chamando pra "briga" com suposta boa intenção de te ensinar defesa pessoal à força. E no final, depois que ele arrebentar sua cara, ele ainda cobra pela aula dada... Você chamaria esse ser humano de "lutador ético"?
O mundo real não é como nos filmes.