<div dir="ltr"><div><br></div><div>I&#39;m not sure how to explain this intuition, but clearly <a href="mailto:security@everything.com">security@everything.com</a> is pretty owned. It&#39;s a high priority target that is by definition poorly defended. So when people submit bugs to Microsoft or Adobe or really any commercial company, they are sending a signal to various APTs which may or may not act on that signal, depending on their particular OPSEC guidelines. </div><div><br></div><div>Obviously in some cases this is institutionalized - Governments (and not just &quot;friendly&quot; ones) can and do ask for a heads up on various vulnerability pipelines. </div><div><br></div><div>So on one hand, if you&#39;re doing statistical analysis you will say &quot;There is a huge overlap in the kinds of bugs we are finding and the kinds of bugs our adversary has! We are making a difference!&quot;</div><div><br></div><div>And on the other hand, maybe they are reading your mail, and killing the ones you happen to find, like a farmer culling the herd of a sick sheep. </div><div><br></div><img><img><img src="cid:15080269480a7f8d0301" alt="Screenshot 2015-10-19 at 08.49.33.png" class="kr" style="max-width: 100%; opacity: 1;"><br></div>