McAfee on raportoinut, että Peloton Bike+:n haavoittuvuus Android-liitteen ja USB-aseman kanssa olisi voinut antaa hakkereille mahdollisuuden asentaa haittaohjelmia kuljettajan tietojen varastamiseksi. McAfeen blogissa olevan viestin mukaan tiimi ilmoitti tästä ongelmasta Pelotonille muutama kuukausi sitten, ja yritykset ovat alkaneet työskennellä yhdessä korjaustiedoston kehittämiseksi. Korjaus on sittemmin testattu, se vahvistettiin 4. kesäkuuta, ja se alkoi julkaista viime viikolla. Tyypillisesti tietoturvatutkijat odottavat haavoittuvuuksien korjausta ennen ongelman ilmoittamista.Hyökkäys antoi hakkereille mahdollisuuden käyttää omia USB-tikulla ladattuja ohjelmistojaan Peloton Bike+ -käyttöjärjestelmän manipuloimiseen. He saattoivat varastaa tietoja, muodostaa etäyhteyden Internetiin, asentaa väärennettyjä sovelluksia huijatakseen ratsastajia antamaan henkilökohtaisia tietoja ja paljon muuta. Pyörän tietoliikenteen salauksen ohittaminen oli myös mahdollista, jolloin muut pilvipalvelut ja pääsy tietokantoihin jäi haavoittuvaksi.
Suurin riski tästä hyväksikäytöstä koski yleisölle päin olevaa Platooneja, kuten yhteistä kuntosalia, jonne hakkereilla olisi helpompi päästä. Myös yksityiset käyttäjät olivat haavoittuvia, koska haitalliset osapuolet saattoivat päästä järjestelmään pyörän rakentamisen ja jakelun aikana. Uusi korjaustiedosto korjaa tämän ongelman, mutta McAfee varoittaa, että Peloton Tread -laitteita – joita se ei sisällyttänyt tutkimukseensa – voidaan silti peukaloida. McAfeen mukaan tärkein asia, jonka Pelotonin kuljettajat voivat tehdä yksityisyytensä ja turvallisuutensa suojelemiseksi, on pitää laitteensa ajan tasalla. «Pysy kuulolla laitevalmistajan ohjelmistopäivityksistä, varsinkin kun ne eivät aina mainosta saatavuuttaan.» He suosittelevat myös, että käyttäjät «ottavat käyttöön automaattiset ohjelmistopäivitykset, jotta sinun ei tarvitse päivittää manuaalisesti ja että sinulla on aina uusimmat tietoturvakorjaukset».
