Termin „bugs bounty” został po raz pierwszy użyty w 1995 roku przez Jarretta Ridlinghafera z Netscape Communication Corporation. Po drodze firmy iDefense (później zakupione przez VeriSign) i TippingPoint pomogły w procesie przyznawania nagród, działając jako pośrednicy między badaczami a oprogramowaniem, ułatwiając przepływ informacji i wynagrodzenie. W 2004 roku Fundacja Mozilla zorganizowała nagrodę za błędy w Firefoksie. W 2007 r. w CanSecWest ogłoszono konkurs Pwn2Own, który stał się punktem zwrotnym w dziedzinie bezpieczeństwa, ponieważ badacze zbierali się, aby wykazać luki w zabezpieczeniach i ich exploity w zamian za nagrody i pieniądze. Później, w 2010 r., Google uruchomił swój program, a następnie Facebook w 2011 r., a następnie w 2014 r. w ramach programu Microsoft Online Services. Obecnie istnieją setki firm oferujących nagrody za luki w zabezpieczeniach. Koncepcja nagród za błędy to podejmowana przez dostawców oprogramowania próba odpowiedzialnego reagowania na problem luk w zabezpieczeniach. W najlepszym przypadku badacze bezpieczeństwa oszczędzają firmom mnóstwo czasu i pieniędzy na znajdowaniu luk w zabezpieczeniach. Z drugiej strony, w najgorszym przypadku raporty badaczy bezpieczeństwa, jeśli nie zostaną właściwie obsługiwane, mogą zostać przedwcześnie ujawnione, co może kosztować firmy mnóstwo czasu i pieniędzy w związku z kontrolą szkód. W związku z tym wyłoniła się interesująca i krucha gospodarka, ponieważ zarówno dostawcy, jak i badacze mają zainteresowanie i motywację do dobrej współpracy.