Do tej pory omówiliśmy pełne ujawnienie dostawcy, pełne ujawnienie publiczne i odpowiedzialne ujawnienie. Wszystkie te metody ujawniania podatności są bezpłatne, dzięki czemu badacz bezpieczeństwa spędza niezliczone godziny na poszukiwaniu luk w zabezpieczeniach i z różnych powodów niezwiązanych bezpośrednio z rekompensatą finansową ujawnia lukę dla dobra publicznego. W rzeczywistości często trudno jest naukowcowi otrzymać wynagrodzenie w takich okolicznościach, nie interpretując tego jako manipulacji sprzedawcą. W 2009 roku zasady gry uległy zmianie. Na corocznej konferencji CanSecWest stanowisko zabrało trzech znanych hakerów: Charlie Miller, Dino Dai Zovi i Alex Sotirov. Podczas prezentacji prowadzonej przez Millera Dai Zovi i Sotirov trzymali kartonową tabliczkę z napisem „KONIEC WIĘCEJ DARMOWYCH BŁĘDÓW”. Było tylko kwestią czasu, zanim badacze zaczną głośno mówić o nieproporcjonalnej liczbie godzin potrzebnych na badanie i odkrywanie luk w porównaniu z kwotą wynagrodzenia otrzymywanego przez badaczy. Nie wszyscy zajmujący się bezpieczeństwem zgodzili się z tym, a niektórzy publicznie skrytykowali ten pomysł. Inni, przyjmując bardziej pragmatyczne podejście, zauważyli, że chociaż ci trzej badacze zgromadzili już wystarczający „kapitał społeczny”, aby żądać wysokich stawek konsultantów, inni nadal będą bezpłatnie ujawniać słabe punkty, aby budować swój status. Niezależnie od tego, to nowe nastroje wywołały falę uderzeniową w branży papierów wartościowych. Dla niektórych było to wzmacniające, dla innych przerażające. Bez wątpienia dziedzina bezpieczeństwa przesuwała się w stronę badaczy, a nie dostawców.