Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している（Independent、Slashdot、ExtremeTech）。

論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10～20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。

また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。

研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。

研究者は、この手法が最近発生した英Tesco銀行のハッキング事件に使用されたと見ているそうだ。