Die "harte Tour" bzw. die "Erpressung" sieht natürlich tatsächlich auf den ersten Blick nicht so aus, als würde sie hohen moralischen Maßstäben gerecht werden, dennoch ist es eben - wie schon geschrieben - der übliche Weg, und das hat auch seine Gründe.
Überall auf der Welt werkeln mehr oder weniger fähige Leute mit mehr oder weniger lauteren Absichten an diesen Dingen. Das ist natürlich nicht sauber zentral mit Groupware und Projektmanagement organisiert. Die Szene ist groß und der Antrieb ist eben nicht immer Profit, wie bei Spammern oder Phishern. Es geht auch darum, dass Sicherheitslücken gefunden werden, mit denen man Schaden anrichten kann. Und die nächste Frage ist dann, was man damit tut bzw. wer schneller ist.
Entweder sind es die "Guten", die den Hersteller warnen und ihm Zeit geben, es zu patchen. Oder es sind die "Bösen", die sofort loslegen, um den Schaden anzurichten. Und offenbar sitzen hier viele dem Irrglauben auf, dass die "Bösen" den Stift fallen lassen, sobald die "Guten" etwas gefunden und (diskret) an den Hersteller kommuniziert haben. Und genau das wäre ein folgenschwerer Irrtum, dem aber insbesondere Apple (aber lange Jahre auch Microsoft) aufsitzt.
Und weil sich die "Guten" zudem etwas verschaukelt vorkommen, wenn sie gut Arbeiten und nichts passiert, setzen sie eine angemessene Frist, bevor sie es veröffentlichen. Damit ist tatsächlich allen geholfen. Die "Guten" ernten den verdienten Ruhm, die Hersteller werden ab und zu von ihrem hohen Ross geholt und die "Bösen" ärgern sich, dass sie wieder nur zweiter geworden sind (aber halb so schlimm, die Tür steht ja noch offen).
Darüber, dass nicht oft etwas wirklich schlimmes passiert, darf man froh sein, man sollte sich sogar damit beruhigen, weil für Panik kein Grund besteht, aber darauf verlassen sollte man sich nicht.
Und nein, ich teile meine Welt nicht wirklich in "Die Guten", "Die Bösen" und "Die Hersteller".