McAfee on ilmoittanut, että Peloton Bike+ -tietoturvahaavoittuvuus Android-liitteen ja USB-aseman kanssa olisi voinut antaa hakkereille mahdollisuuden asentaa haittaohjelmia kuljettajien tietojen varastamiseksi.
McAfeen blogissa olevan viestin mukaan tiimi ilmoitti tästä ongelmasta Pelotonille muutama kuukausi sitten, ja yritykset alkoivat työskennellä yhdessä korjaustiedoston kehittämiseksi. Laastari on sittemmin testattu, sen teho vahvistettiin 4. kesäkuuta, ja se alkoi julkaista viime viikolla. Yleensä tietoturvatutkijat odottavat, kunnes haavoittuvuudet on korjattu, kunnes he ilmoittavat ongelmasta.
Hyödyntämisen ansiosta hakkerit saattoivat käyttää omia USB-muistitikulla ladattuja ohjelmistojaan Peloton Bike+ -käyttöjärjestelmän manipuloimiseen. He voisivat varastaa tietoja, määrittää etäyhteyden Internetiin, asentaa väärennettyjä sovelluksia huijatakseen ratsastajia antamaan henkilökohtaisia tietoja ja paljon muuta. Pyörän tietoliikenteen salauksen ohittaminen oli myös mahdollista, mikä teki muista pilvipalveluista ja käytetyistä tietokannoista haavoittuvia.
Tämän hyväksikäytön aiheuttama suurin riski kohdistui yleisölle päin oleviin pelotoneihin, kuten yhteiseen kuntosaliin, jonne hakkereilla olisi helpompi päästä. Kuitenkin myös yksityiset käyttäjät olivat haavoittuvia, sillä pahantahtoiset osapuolet saattoivat päästä käsiksi järjestelmään koko pyörän rakentamisen ja jakelun ajan. Uusi korjaustiedosto korjaa tämän ongelman, mutta McAfee varoittaa, että Peloton Tread -laitteita - joita se ei sisällyttänyt tutkimukseensa - voidaan edelleen manipuloida.
McAfeen mukaan tärkein asia, jonka Pelotonin kuljettajat voivat tehdä suojellakseen yksityisyyttään ja turvallisuuttaan, on pitää laitteensa ajan tasalla. "Pysy ajan tasalla laitteesi valmistajan ohjelmistopäivityksistä, varsinkin kun he eivät aina mainosta saatavuuttaan." He suosittelevat myös, että käyttäjät "ottavat käyttöön automaattiset ohjelmistopäivitykset, joten sinun ei tarvitse päivittää manuaalisesti ja sinulla on aina uusimmat tietoturvakorjaukset."