Почему бы программам и не принимать такие баги, если с точки зрения бизнес логики приложения потенциальный ущерб от их наличия может быть сравним с какими-нибудь серьёзными уязвимостями. Я не вижу ничего плохого в том, что fb выплатил вознаграждение за тот репорт, как и в целом в его наличии.
записывайся на биржи тестировщиков, как делал я, участвуй в тестциклах (которые строго по расписанию), сдавай баги и получай по 2-3 бакса за штуку. Подобные биржи для бета тестирования используют многие, не удивлюсь если и фейсбук для каких то своих продуктов/новых фич. Правда там конкуренция с индусами еще выше чем на Hackerone.