Siber güvenlik dünyasında işler şu şekilde ilerler
X zafiyet tespit edilip ilgil firmaya bildirilmeden para istenir veya direk ilgili açık bildirilir.
Belli bir süre beklenir firma kapattı mı kapatmadı mı aksiyon alındı mı kontrol edilir.
Eğer firma kapattı ise duyrulur
Eğer firma kapatmadıysa saldırı yapılır.

Muhtemel senaryoda firmaya bildirildi ama firma umursamadı veya düzeltemedi ve saldırı gerçekleşti
Neticede siyah şapkalar olmasa güvenlik tarafı hiç gelişmez bu iş böyledir