PayPayでクレジットカードを登録するとき、セキュリティコードの入力回数に制限がなかったようです。
セキュリティコードは3桁の数字なので、入力回数に制限がないなら、1000回試行すれば突破できることになります。
ブルートフォースアタック(総当たり攻撃)というもので、情報処理技術者の試験ではよく出てくるものです。
クレジットカードの表の面が流出してしまうと、あとはセキュリティコードの総当たり攻撃で突破されてしまいます。
通常、クレジットカードの不正使用には保険が適用されますが、あまりにも放置しておくと保険適用できなくなってしまうので、注意して見ておく必要があるでしょう。