Credit Karma is niet gehackt in de traditionele zin van het woord. In 2020 maakte het bedrijf echter een datalek bekend dat ongeveer 19 miljoen klanten trof. De inbreuk werd veroorzaakt door een externe leverancier die toegang had tot de API van Credit Karma. Het systeem van de leverancier werd gehackt en de hackers konden toegang krijgen tot een deel van de klantgegevens van Credit Karma. De toegankelijke informatie omvatte namen, adressen, telefoonnummers en geboortedata. Er werd echter geen toegang verkregen tot burgerservicenummers of financiële rekeningnummers. Credit Karma bracht de getroffen klanten op de hoogte en bood hen gratis kredietbewakingsdiensten aan.

Bovendien kondigde Credit Karma in 2022 een phishing-aanval aan die gericht was op zijn gebruikers. Bij phishing-aanvallen verzenden criminelen valse e-mails of sms-berichten die eruit zien alsof ze afkomstig zijn van een legitieme bron, in een poging mensen te misleiden zodat ze hun persoonlijke gegevens prijsgeven. In dit geval leken de phishing-e-mails en sms-berichten afkomstig van Credit Karma en werd gebruikers gevraagd op een link te klikken om hun wachtwoord opnieuw in te stellen. De link bracht gebruikers echter feitelijk naar een nep-Credit Karma-website waar hun persoonlijke gegevens werden gestolen. Credit Karma waarschuwde zijn gebruikers voor de phishing-aanval en adviseerde hen op hun hoede te zijn voor verdachte e-mails of sms-berichten.