با این حال وزارت دادگستری آمریکا خاطرنشان کرد اجرای تحقیقات امنیتی، مجوزی برای افرادی که با سوءنیت عمل می‌کنند، نیست. به عنوان مثال کشف آسیب‌پذیری‌ها در دستگاه‌ها برای اخاذی از صاحبان آنها حتی اگر به عنوان تحقیق ادعا شود، نشان‌دهنده حسن‌نیت نیست.  بر این اساس در سیاست جدید وزارت دادگستری، به دادستان‌ها توصیه شده است با بخش جرایم رایانه‌ای و مالکیت معنوی واحد جنایی درباره کاربردهای ویژه هک قانون‌مند مشورت بگیرند. وزارت دادگستری تاکید کرد بعضی از فعالیت‌ها برای وارد کردن اتهامات کیفری فدرال، کافی نخواهد بود. این موارد شامل ایجاد پروفایل‌های جعلی در سایت‌های دوست‌یابی، ایجاد حساب‌های جعلی در وب‌سایت‌های استخدام، مسکن یا اجاره، استفاده از اسم مستعار در یک سایت شبکه اجتماعی، چک نتایج مسابقات ورزشی در محل کار، پرداخت قبوض در محل کار یا نقض محدودیت دسترسی قید شده در شرایط سرویس، هستند. تمام دادستان‌های فدرال که می‌خواهند تحت قانون «کلاهبرداری و سوءاستفاده رایانه‌ای» اتهامی را وارد کند، باید سیاست جدید را دنبال کرده و پیش از اعلام اتهامات، با بخش جرایم رایانه‌ای و مالکیت معنوی واحد جنایی مشورت کنند. سیاست جدید که فورا اجرایی می‌شود، جای سیاستی را می‌گیرد که در سال ۲۰۱۴ اعلام شده بود. بر اساس گزارش وب‌سایت تِک رادار، هکرهای کلاه‌سفید مستقل نقش زیادی در برملا کردن آسیب‌پذیری‌های امنیت سایبری پیدا کرده‌اند. یک محقق مستقل که با نام hyp۳rlinx شناخته می‌شود، بعضی از معروف‌ترین گروه‌های باج‌گیر مانند کنتی،‌REvil و لاک‌بیت را شناسایی کرد.