Yo diría que tiene mucho que ver con el orden de las operaciones:
Extorsión:
- encontrar vulnerabilidad
- contactar a la compañía y exigir el pago
Tiger Team:
- póngase en contacto con la empresa y negocie el contrato
- encontrar vulnerabilidades
A menos que ya haya un programa de búsqueda de errores configurado, intentar encontrar vulnerabilidades y piratear es casi lo mismo sin un contrato preexistente.
Conozco a algunos consultores de empresas pequeñas e independientes que logran ganarse la vida trabajando como un equipo tigre para empresas. Yo diría que la parte más difícil es obtener la reputación, por lo que puede hacer un caso a la empresa para que usted sea la persona a quien paga por este trabajo.