Một ứng dụng xác minh độ tuổi của EU đã gây tranh cãi sau khi các chuyên gia an ninh mạng phát hiện ra nhiều lỗ hổng. Hệ thống được cho là "hoàn thiện về mặt kỹ thuật" và đáp ứng "tiêu chuẩn bảo mật cao nhất" đã bị vi phạm trong vòng chưa đầy hai phút. Cố vấn bảo mật Paul Moore là người đầu tiên chỉ ra lỗ hổng này. Sau khi nghiên cứu mã nguồn mở của ứng dụng, anh ấy đã trình diễn trong một video cách vượt qua lớp bảo vệ.
Lỗ hổng chính là mã PIN được mã hóa chỉ được lưu trữ cục bộ trên thiết bị và không được liên kết một cách đáng tin cậy với khu vực lưu trữ nhận dạng. Kẻ tấn công có thể chỉ cần xóa một số tệp dịch vụ hệ thống để đặt lại mã PIN cũ, đặt mật khẩu mới và có toàn quyền truy cập vào dữ liệu nhận dạng đã được xác thực trước đó. Ngoài ra, người ta còn tìm thấy các cài đặt trong tệp cấu hình cho phép tắt xác thực sinh trắc học (thay đổi giá trị tham số từ "true" thành "false") và đặt lại số lần nhập mã PIN. Moore lưu ý rằng những thao tác này không yêu cầu công cụ phức tạp và có thể hoàn thành trong vài phút.
Điều thực sự gây sốc là ứng dụng này lưu trữ dữ liệu sinh trắc học "thô" và ảnh selfie ở dạng không được mã hóa trên thiết bị của người dùng. Trái ngược với tuyên bố của Ủy ban Châu Âu về tính bảo mật và ẩn danh của quy trình, những tệp này không bao giờ bị hệ thống tự động xóa. Sau đó, người ta xác nhận rằng sự cố nêu trên không xuất hiện trong mẫu thử nghiệm nhưng tồn tại trong phiên bản cuối cùng của phần mềm có sẵn để tải xuống.
Bình luận về tình hình, Ủy ban Châu Âu thừa nhận sai sót nhưng bác bỏ cáo buộc thiếu năng lực. Đại diện chính thức cho biết ứng dụng này vẫn đang trong giai đoạn hoàn thiện và phiên bản hiện tại chưa nhằm mục đích triển khai thực tế. Họ hứa rằng tất cả các lỗ hổng được phát hiện sẽ được khắc phục trong thời gian tới và phiên bản sản phẩm cuối cùng sẽ được phát hành sau đó.