McAfee đã báo cáo rằng lỗ hổng bảo mật Peloton Bike + với tệp đính kèm Android và ổ USB có thể đã cho phép tin tặc cài đặt phần mềm độc hại để lấy cắp thông tin của người lái.
Theo một bài đăng trên blog của McAfee, nhóm đã báo cáo vấn đề này với Peloton vài tháng trước và các công ty đã bắt đầu làm việc cùng nhau để phát triển một bản vá. Bản vá này đã được thử nghiệm, được xác nhận là có hiệu lực vào ngày 4 tháng 6 và bắt đầu được tung ra vào tuần trước. Thông thường, các nhà nghiên cứu bảo mật đợi cho đến khi các lỗ hổng bảo mật được vá cho đến khi thông báo vấn đề.
Việc khai thác đã khiến tin tặc có thể sử dụng phần mềm của riêng họ được tải qua ổ USB để thao tác trên hệ điều hành Peloton Bike +. Chúng có thể đánh cắp thông tin, thiết lập truy cập internet từ xa, cài đặt các ứng dụng giả mạo để lừa người lái cung cấp thông tin cá nhân, v.v. Việc bỏ qua mã hóa thông tin liên lạc của xe đạp cũng là một khả năng, khiến các dịch vụ đám mây khác và cơ sở dữ liệu được truy cập dễ bị tấn công.
Rủi ro lớn nhất do việc khai thác này gây ra là đối với các Pelotons trực tiếp công khai, chẳng hạn như trong phòng tập thể dục chung, nơi tin tặc có thể truy cập dễ dàng hơn. Tuy nhiên, người dùng cá nhân cũng dễ bị tấn công vì các bên độc hại có thể truy cập vào hệ thống trong suốt quá trình xây dựng và phân phối xe đạp. Bản vá mới không khắc phục được sự cố này, nhưng McAfee cảnh báo rằng thiết bị Peloton Tread - mà nó không bao gồm trong nghiên cứu của mình - vẫn có thể bị thao túng.
Theo McAfee, điều quan trọng nhất mà người dùng Peloton có thể làm để bảo vệ quyền riêng tư và bảo mật của họ là luôn cập nhật thiết bị của họ. "Luôn cập nhật các bản cập nhật phần mềm từ nhà sản xuất thiết bị của bạn, đặc biệt vì không phải lúc nào họ cũng quảng cáo tính khả dụng của chúng."Họ cũng khuyến cáo người dùng" nên bật cập nhật phần mềm tự động, để bạn không phải cập nhật thủ công và luôn có các bản vá bảo mật mới nhất."