McAfee pranešė, kad „Peloton Bike+“saugos spraga su „Android“priedu ir USB disku galėjo leisti įsilaužėliams įdiegti kenkėjiškas programas, kad pavogtų vairuotojų informaciją.
Remiantis įrašu „McAfee“tinklaraštyje, komanda apie šią problemą pranešė „Peloton“prieš kelis mėnesius, o įmonės pradėjo dirbti kartu kurdamos pataisą. Nuo tada pleistras buvo išbandytas, patvirtintas, kad jis galioja birželio 4 d., ir pradėtas naudoti praėjusią savaitę. Paprastai saugumo tyrinėtojai laukia, kol pažeidžiamumas bus pataisytas, kol paskelbs problemą.
Šis išnaudojimas leido įsilaužėliams naudoti savo programinę įrangą, įkeltą per USB atmintinę, manipuliuoti Peloton Bike+ operacine sistema. Jie galėtų pavogti informaciją, nustatyti nuotolinę prieigą prie interneto, įdiegti netikras programas, kad apgautų motociklininkus pateikti asmeninę informaciją ir dar daugiau. Taip pat buvo galimybė apeiti dviračio ryšių šifravimą, todėl kitos debesies paslaugos ir pasiekiamos duomenų bazės tapo pažeidžiamos.
Didžiausias pavojus, kurį kėlė šis išnaudojimas, buvo viešai matomiems pelotonams, pavyzdžiui, bendroje sporto salėje, kur įsilaužėliai turėtų lengviau prieiti. Tačiau privatūs vartotojai taip pat buvo pažeidžiami, nes kenkėjiškos šalys galėjo turėti prieigą prie sistemos dviračio konstravimo ir platinimo metu. Naujasis pleistras išsprendžia šią problemą, tačiau „McAfee“įspėja, kad „Peloton Tread“įranga, kurios ji neįtraukė į savo tyrimus, vis tiek gali būti manipuliuojama.
Anot „McAfee“, svarbiausias dalykas, kurį „Peloton“motociklininkai gali padaryti norėdami apsaugoti savo privatumą ir saugumą, yra nuolat atnaujinti savo įrenginius. „Sekite įrenginio gamintojo programinės įrangos atnaujinimus, ypač todėl, kad jie ne visada skelbs apie jų prieinamumą. Jie taip pat rekomenduoja vartotojams „įjungti automatinius programinės įrangos atnaujinimus, kad jums nereikėtų naujinti rankiniu būdu ir visada turėtumėte naujausias saugos pataisas."