因为他们已经意识到了这个问题。他们在排除名单上提到了这一点，这一点很明显。不提它可能会导致很多用户指出它。

而且由于他们知道您可能想知道他们为什么不修复它。真的没有办法阻止它。如果他们将一封电子邮件限制为一次注册，他们将不得不通知用户为什么他们无法完成注册，如果它已经被使用过。或者，如果已经选择了用户名，他们将不得不再次以用户友好的方式告知他们为什么不能。因此，与其完全取消枚举，他们将不得不限制尝试、包括 CAPTCHA 或实施其他计划以防止滥用。

因此，当您有一个已知的错误而没有能力或意图修复它时，公司支付赏金或接收有关它的报告确实没有任何好处。

除了上面@Bacon Brad 的出色回答之外，我还想补充三个原因，说明为什么“用户枚举”经常被列在安全策略的“超出范围的错误”部分下。

1. 许多漏洞赏金平台都有默认策略，程序在启动时可以使用这些策略。默认情况下，这些策略通常包括一些经常报告的低严重性问题，包括用户枚举。
2. 程序通常不希望漏洞赏金猎人用请求淹没他们的服务器，因此用户枚举属于“蛮力强制”——这只是一种说法：“请不要在我们的应用程序上反复探测不同的用户名。”
3. Bug 赏金计划会收到大量报告，因此确定分类团队工作的优先级并尽量减少低优先级报告的数量以确保团队能够专注于关键问题非常重要。通过排除“用户枚举”，该程序可以减少一点噪音并使分类过程更加容易。当然，程序仍然会收到有关其政策中列出的超出范围的问题的报告，但它似乎在大多数情况下仍然有效。