McAfee דיווח שפגיעות אבטחה של Peloton Bike+ עם הקובץ המצורף של Android וכונן ה-USB עלולה לאפשר להאקרים להתקין תוכנות זדוניות כדי לגנוב מידע של הרוכבים.
לפי פוסט בבלוג של McAfee, הצוות דיווח על בעיה זו ל-Peloton לפני מספר חודשים והחברות החלו לעבוד יחד כדי לפתח תיקון. התיקון נבדק מאז, אושר כי הוא יעיל ב-4 ביוני, והחל לצאת בשבוע שעבר. בדרך כלל, חוקרי אבטחה ממתינים עד שתוקנו פגיעויות עד שיכריזו על הבעיה.
הניצול איפשר להאקרים להשתמש בתוכנה משלהם הנטענת דרך כונן USB כדי לתפעל את מערכת ההפעלה Peloton Bike+.הם יוכלו לגנוב מידע, להגדיר גישה מרחוק לאינטרנט, להתקין אפליקציות מזויפות כדי להערים על רוכבים לספק מידע אישי ועוד. לעקוף את ההצפנה בתקשורת של האופניים הייתה גם אפשרות, מה שהפך שירותי ענן אחרים ומסדי נתונים נגישות לפגיעים.
הסיכון הגדול ביותר שהיווה ניצול זה היה לפלוטונים הפתוחים לציבור, כמו בחדר כושר משותף, שבו להאקרים תהיה גישה קלה יותר. עם זאת, גם משתמשים פרטיים היו פגיעים, מכיוון שלצדדים זדוניים הייתה גישה למערכת לאורך הבנייה והפצה של האופניים. התיקון החדש אכן פותר את הבעיה הזו, אבל מקאפי מזהירה שציוד Peloton Tread - שהוא לא כלל במחקר שלו - עדיין ניתן למניפולציה.
לפי McAfee, הדבר החשוב ביותר שרוכבי פלוטון יכולים לעשות כדי להגן על הפרטיות והאבטחה שלהם הוא לשמור על המכשירים שלהם מעודכנים. "הישאר מעודכן על עדכוני תוכנה מיצרן המכשיר שלך, במיוחד מכיוון שהם לא תמיד יפרסמו את זמינותם." הם גם ממליצים למשתמשים "להפעיל עדכוני תוכנה אוטומטיים, כך שלא תצטרך לעדכן באופן ידני ותמיד יהיו לך את תיקוני האבטחה העדכניים ביותר."