あるAnonymous Coward 曰く、

paypayでカードの不正利用が頻発している。
paypay側は家族や友人のせいにしているが、そもそもカード登録時に何度セキュリティコードその他をミスしても
ロックがかからないと言う事が原因で総当たり攻撃を許してしまっていることが原因のようだ。

実際にpaypayで登録したこともなければ、一度も使ったことのないカードさえpayapayの被害にあっているという。

セキュリティコードを何度間違えてもロックがかからないという事は、
カード番号も自動生成で総当たりできるという事。
例えばvisaならば前6桁は発行元により固定のため（https://news.cardmics.com/entry/card-number-henko/）、
ここは固定でき、生成するカード番号は残り9桁となる（残り一桁はチェックディジットの為、だがロック機構が無ければこれも無意味）

つまり9*60（有効期限5年*12）*999の約53万回、チェックディジットを含めても530万回の試行で他人のカードが登録できてしまう。
PCや今のスマホでも一日あればスクリプト回して突破出来てしまうが、これからどうなるのだろうか。

情報元へのリンク