McAfee je poročal, da bi lahko varnostna ranljivost Peloton Bike+ s prilogo Android in pogonom USB hekerjem omogočila namestitev zlonamerne programske opreme, da bi ukradli podatke kolesarjev.
Glede na objavo na McAfeejevem blogu je ekipa o tej težavi poročala Pelotonu pred nekaj meseci in podjetji sta začeli sodelovati pri razvoju popravka. Popravek je bil medtem testiran, potrjeno, da je učinkovit 4. junija, in se je začel uvajati prejšnji teden. Varnostni raziskovalci običajno počakajo, da se ranljivosti popravijo, dokler ne objavijo težave.
Izkoriščanje je hekerjem omogočilo uporabo lastne programske opreme, naložene prek pogona USB, za manipulacijo operacijskega sistema Peloton Bike+. Lahko bi ukradli podatke, vzpostavili dostop do interneta na daljavo, namestili lažne aplikacije, s katerimi bi kolesarje preslepili, da bi posredovali osebne podatke, in še več. Možna je bila tudi obhod šifriranja komunikacij kolesa, zaradi česar so ostale storitve v oblaku in dostopne podatkovne baze ranljive.
Največje tveganje, ki ga je predstavljalo to izkoriščanje, je bilo za javne Pelotone, na primer v skupni telovadnici, kjer bi imeli hekerji lažji dostop. Vendar pa so bili tudi zasebni uporabniki ranljivi, saj so zlonamerne osebe lahko imele dostop do sistema skozi celotno konstrukcijo in distribucijo kolesa. Nov popravek sicer odpravlja to težavo, vendar McAfee opozarja, da je z opremo Peloton Tread – ki je niso vključili v svojo raziskavo – še vedno mogoče manipulirati.
Po mnenju McAfeeja je najpomembnejša stvar, ki jo vozniki Pelotona lahko naredijo za zaščito svoje zasebnosti in varnosti, posodabljanje svojih naprav. »Bodite na tekočem s posodobitvami programske opreme proizvajalca vaše naprave, še posebej, ker ne bodo vedno oglaševali njihove razpoložljivosti. Priporočajo tudi, da uporabniki »vklopijo samodejno posodabljanje programske opreme, da vam ni treba ročno posodabljati in da imate vedno najnovejše varnostne popravke."