أثار تطبيق التحقق من العمر في الاتحاد الأوروبي جدلاً بعد أن اكتشف خبراء الأمن السيبراني نقاط ضعف متعددة. تم اختراق النظام، الذي ادعى أنه "مكتمل تقنيًا" ويلبي "أعلى معايير الخصوصية"، في أقل من دقيقتين. كان المستشار الأمني بول مور أول من أشار إلى الثغرة الأمنية. وبعد دراسة الكود مفتوح المصدر للتطبيق، أوضح في مقطع فيديو كيفية تجاوز الحماية.
تتمثل نقطة الضعف الرئيسية في أن رمز PIN المشفر يتم تخزينه محليًا فقط على الجهاز ولا يرتبط بشكل موثوق بمنطقة تخزين الهوية. يمكن للمهاجم ببساطة حذف عدد قليل من ملفات خدمة النظام لإعادة تعيين أرقام التعريف الشخصية القديمة وتعيين كلمات مرور جديدة والحصول على حق الوصول الكامل إلى بيانات الهوية التي تم المصادقة عليها مسبقًا. بالإضافة إلى ذلك، تم العثور على إعدادات في ملف التكوين تسمح بإيقاف تشغيل المصادقة البيومترية (تغيير قيمة المعلمة من "صحيح" إلى "خطأ") وإعادة تعيين عدد محاولات إدخال رقم التعريف الشخصي. وأشار مور إلى أن هذه العمليات لا تتطلب أدوات معقدة ويمكن إكمالها في دقائق.
الأمر المثير للصدمة حقًا هو أن التطبيق يخزن البيانات البيومترية "الخامة" وصور السيلفي في شكل غير مشفر على جهاز المستخدم. وخلافًا لتصريحات المفوضية الأوروبية بشأن سرية العملية وعدم الكشف عن هويتها، لم يتم حذف هذه الملفات تلقائيًا بواسطة النظام. وتم التأكد لاحقاً أن المشكلة المذكورة أعلاه لم تظهر في عينة الاختبار، ولكنها موجودة في النسخة النهائية من البرنامج المتاحة للتحميل.
وفي تعليقها على الوضع، اعترفت المفوضية الأوروبية بأوجه القصور لكنها رفضت الاتهامات بعدم الكفاءة. وقال الممثلون الرسميون إن التطبيق لا يزال في مرحلة التحسين وأن الإصدار الحالي ليس مخصصًا للنشر الفعلي. يعدون بأن جميع الثغرات الأمنية المكتشفة سيتم إصلاحها في المستقبل القريب، وسيتم إصدار الإصدار النهائي للمنتج في وقت لاحق.