Credit Karma er ikke blevet hacket i traditionel forstand. Men i 2020 afslørede virksomheden et databrud, der berørte cirka 19 millioner kunder. Bruddet var forårsaget af en tredjepartsleverandør, der havde adgang til Credit Karmas API. Sælgerens system blev hacket, og hackerne var i stand til at få adgang til nogle af Credit Karmas kundeoplysninger. De tilgængelige oplysninger omfattede navne, adresser, telefonnumre og fødselsdatoer. Der blev dog ikke tilgået nogen CPR-numre eller finansielle kontonumre. Credit Karma underrettede de berørte kunder og tilbød dem gratis kreditovervågningstjenester.

Derudover annoncerede Credit Karma i 2022 et phishing-angreb, der var rettet mod dets brugere. Phishing-angreb involverer kriminelle, der sender falske e-mails eller tekstbeskeder, der ser ud som om de er fra en legitim kilde i et forsøg på at narre folk til at opgive deres personlige oplysninger. I dette tilfælde så phishing-e-mails og tekstbeskeder ud, som om de var fra Credit Karma og bad brugerne om at klikke på et link for at nulstille deres adgangskode. Men linket førte faktisk brugerne til en falsk Credit Karma-hjemmeside, hvor deres personlige oplysninger blev stjålet. Credit Karma advarede sine brugere om phishing-angrebet og rådede dem til at være på vagt over for mistænkelige e-mails eller tekstbeskeder.