Software lekken zijn vandaag "big business". Zijn het niet iDefense of 3Com die grof geld voor de informatie neerleggen, dan zijn er wel virusschrijvers of spyware verspreiders die geinteresseerd zijn. Een andere mogelijkheid is het veilen van je exploits via eBay of een andere veilingsite, maar dan loop je het gevaar dat de veiling gesloten wordt. Security onderzoekers die op "safe" willen spelen beginnen dan ook hun eigen webshop, zoals de mensen achter de "International Exploit Shop" deden.

Het bedrijf bood allerlei exploits aan, waarmee duizenden computers geinfecteerd konden worden. De exploits werden op maat gemaakt en waren voorzien van "video uitleg" waarin gedemonstreerd werd hoe de exploit gebruikt moest worden. De website van de exploit shop is inmiddels niet meer bereikbaar of naar een ander adres verhuisd, feit is wel dat er veel geld met security exploits te verdienen valt. Het is dan ook goed mogelijk dat er binnen afzienbare tijd een echte "lekken veiling" verschijnt, zo blogt Dancho Danchev.

Sommige mensen vinden het onethisch van onderzoekers om lekken te verkopen of voor het verschijnen van een patch bekend te maken. Je kunt je ook afvragen hoe ethisch het is om onveilige software aan te bieden. Er zijn ontwikkelaars die niet eens de moeite nemen om veilige software af te leveren. Security onderzoekers maken geen lekken, ze vinden ze alleen, gaat deze columnist verder.