Credit Karma har ikke blitt hacket i tradisjonell forstand. Imidlertid avslørte selskapet i 2020 et datainnbrudd som berørte omtrent 19 millioner kunder. Bruddet var forårsaket av en tredjepartsleverandør som hadde tilgang til Credit Karmas API. Leverandørens system ble hacket, og hackerne fikk tilgang til noe av Credit Karmas kundeinformasjon. Informasjonen du fikk tilgang til inkluderer navn, adresser, telefonnumre og fødselsdato. Imidlertid ble ingen personnummer eller finansielle kontonumre åpnet. Credit Karma varslet de berørte kundene og tilbød dem gratis kredittovervåkingstjenester.

I tillegg kunngjorde Credit Karma i 2022 et phishing-angrep som var rettet mot brukerne. Phishing-angrep involverer kriminelle som sender falske e-poster eller tekstmeldinger som ser ut som de kommer fra en legitim kilde i et forsøk på å lure folk til å gi fra seg personlig informasjon. I dette tilfellet så phishing-e-postene og tekstmeldingene ut som om de var fra Credit Karma og ba brukere klikke på en lenke for å tilbakestille passordet. Imidlertid tok lenken faktisk brukere til et falskt Credit Karma-nettsted der deres personlige opplysninger ble stjålet. Credit Karma advarte brukerne om phishing-angrepet og rådet dem til å være forsiktige med mistenkelige e-poster eller tekstmeldinger.