با این حال وزارت دادگستری آمریکا خاطرنشان کرد اجرای تحقیقات امنیتی، مجوزی برای افرادی که با سوءنیت عمل میکنند، نیست. به عنوان مثال کشف آسیبپذیریها در دستگاهها برای اخاذی از صاحبان آنها حتی اگر به عنوان تحقیق ادعا شود، نشاندهنده حسننیت نیست. بر این اساس در سیاست جدید وزارت دادگستری، به دادستانها توصیه شده است با بخش جرایم رایانهای و مالکیت معنوی واحد جنایی درباره کاربردهای ویژه هک قانونمند مشورت بگیرند. وزارت دادگستری تاکید کرد بعضی از فعالیتها برای وارد کردن اتهامات کیفری فدرال، کافی نخواهد بود. این موارد شامل ایجاد پروفایلهای جعلی در سایتهای دوستیابی، ایجاد حسابهای جعلی در وبسایتهای استخدام، مسکن یا اجاره، استفاده از اسم مستعار در یک سایت شبکه اجتماعی، چک نتایج مسابقات ورزشی در محل کار، پرداخت قبوض در محل کار یا نقض محدودیت دسترسی قید شده در شرایط سرویس، هستند. تمام دادستانهای فدرال که میخواهند تحت قانون «کلاهبرداری و سوءاستفاده رایانهای» اتهامی را وارد کند، باید سیاست جدید را دنبال کرده و پیش از اعلام اتهامات، با بخش جرایم رایانهای و مالکیت معنوی واحد جنایی مشورت کنند. سیاست جدید که فورا اجرایی میشود، جای سیاستی را میگیرد که در سال ۲۰۱۴ اعلام شده بود. بر اساس گزارش وبسایت تِک رادار، هکرهای کلاهسفید مستقل نقش زیادی در برملا کردن آسیبپذیریهای امنیت سایبری پیدا کردهاند. یک محقق مستقل که با نام hyp۳rlinx شناخته میشود، بعضی از معروفترین گروههای باجگیر مانند کنتی،REvil و لاکبیت را شناسایی کرد.
