McAfee je izvijestio da je sigurnosna ranjivost Peloton Bike+ sa Android prilogom i USB diskom mogla dozvoliti hakerima da instaliraju zlonamjerni softver kako bi ukrali podatke vozača.
Prema objavi na McAfee-ovom blogu, tim je prijavio ovaj problem Pelotonu prije nekoliko mjeseci i kompanije su počele raditi zajedno na razvoju zakrpe. Zakrpa je od tada testirana, potvrđeno je da je na snazi 4. juna, a počela je da se primenjuje prošle nedelje. Obično istraživači sigurnosti čekaju dok se ranjivosti ne zakrpe dok ne objave problem.
Eksploat je omogućio hakerima da koriste sopstveni softver učitan preko USB fleš diska za manipulaciju Peloton Bike+ operativnim sistemom. Mogli bi ukrasti informacije, postaviti udaljeni pristup internetu, instalirati lažne aplikacije kako bi prevarili vozače da im daju lične podatke i još mnogo toga. Zaobilaženje enkripcije na komunikacijama bicikla je također bila mogućnost, čineći druge usluge u oblaku i pristupne baze podataka ranjivim.
Najveći rizik koji je predstavljao ovaj eksploat bio je za Pelotone koji su okrenuti javnosti, kao što je zajednička teretana, gdje bi hakeri imali lakši pristup. Međutim, privatni korisnici su također bili ranjivi, jer su zlonamjerne strane mogle imati pristup sistemu tokom izrade i distribucije bicikla. Nova zakrpa zaista rješava ovaj problem, ali McAfee upozorava da se Peloton Tread opremom - koju nije uključio u svoje istraživanje - još uvijek može manipulirati.
Prema McAfee-u, najvažnija stvar koju vozači Pelotona mogu učiniti da zaštite svoju privatnost i sigurnost je da održavaju svoje uređaje ažurnim. „Ostanite u toku sa ažuriranjima softvera od proizvođača vašeg uređaja, pogotovo zato što oni neće uvijek oglašavati svoju dostupnost." Oni također preporučuju da korisnici "uključe automatska ažuriranja softvera, tako da ne morate ručno ažurirati i uvijek imati najnovije sigurnosne zakrpe."