McAfee telah melaporkan bahwa kerentanan keamanan Peloton Bike+ dengan lampiran Android dan drive USB dapat memungkinkan peretas memasang malware untuk mencuri informasi pengendara.
Menurut posting di blog McAfee, tim melaporkan masalah ini ke Peloton beberapa bulan yang lalu dan perusahaan mulai bekerja sama untuk mengembangkan tambalan. Patch sejak itu telah diuji, dikonfirmasi efektif pada 4 Juni, dan mulai diluncurkan minggu lalu. Biasanya, peneliti keamanan menunggu hingga kerentanan telah ditambal hingga mengumumkan masalah tersebut.
Eksploitasi memungkinkan peretas untuk menggunakan perangkat lunak mereka sendiri yang dimuat melalui USB thumb drive untuk memanipulasi sistem operasi Peloton Bike+. Mereka akan dapat mencuri informasi, mengatur akses internet jarak jauh, memasang aplikasi palsu untuk mengelabui pengendara agar memberikan informasi pribadi, dan banyak lagi. Melewati enkripsi pada komunikasi sepeda juga merupakan kemungkinan, membuat layanan cloud lain dan database yang diakses menjadi rentan.
Risiko terbesar yang ditimbulkan oleh eksploitasi ini adalah terhadap Pelotons yang menghadap publik, seperti di gym bersama, di mana peretas akan memiliki akses yang lebih mudah. Namun, pengguna pribadi juga rentan, karena pihak jahat dapat memiliki akses ke sistem di seluruh konstruksi dan distribusi sepeda. Patch baru memang memperbaiki masalah ini, tetapi McAfee memperingatkan bahwa peralatan Tapak Peloton-yang tidak termasuk dalam penelitiannya-masih dapat dimanipulasi.
Menurut McAfee, hal terpenting yang dapat dilakukan pengendara Peloton untuk melindungi privasi dan keamanan mereka adalah selalu memperbarui perangkat mereka. "Terus ikuti pembaruan perangkat lunak dari produsen perangkat Anda, terutama karena mereka tidak selalu mengiklankan ketersediaannya." Mereka juga menyarankan agar pengguna "mengaktifkan pembaruan perangkat lunak otomatis, sehingga Anda tidak perlu memperbarui secara manual dan selalu memiliki patch keamanan terbaru."