Perfeito!
Eu só complementaria a parte sobre as empresas com sistemas mal programados e vulnerabilidades óbvias. Às vezes é mesmo porque o encarregado daquilo não entende o problema, mas muito frequentemente não corrigir é decisão de negócio.
Grande parte do trabalho de um alguém que realmente trabalha em segurança da informação é justamente ter um bom entendimento das operações da empresa que está sendo avaliada pra conseguir classificar adequadamente os riscos encontrados e ajudar os gestores a priorizá-los corretamente.
Em qualquer organização, alguns riscos sempre são aceitos, normalmente porque o trabalho que daria corrigí-los supera muito o potencial dano que eles poderiam causar.
Mesmo pra bug bounty, é importante buscar esse entendimento prévio sobre o alvo pra entender quais problemas são relevantes e como informá-los da melhor forma nos relatórios.
Quem sai rodando scans em páginas aleatórias esperando ganhar algo geralmente não tem noção de nada disso.
Obrigado por complementar! Realmente também tem esse lado, inclusive já vi também adiarem correções por ter outras prioridades "na fila".
Infelizmente esse vendedor de curso (e outros semelhantes, ele não é o único) não fala nada disso e vende a ilusão de que o curso superficial dele vai deixar os alunos preparados para trabalhar com segurança.