Credit Karma wurde nicht im herkömmlichen Sinne gehackt. Im Jahr 2020 meldete das Unternehmen jedoch eine Datenpanne, von der rund 19 Millionen Kunden betroffen waren. Der Verstoß wurde durch einen Drittanbieter verursacht, der Zugriff auf die API von Credit Karma hatte. Das System des Anbieters wurde gehackt und die Hacker konnten auf einige Kundeninformationen von Credit Karma zugreifen. Zu den abgerufenen Informationen gehörten Namen, Adressen, Telefonnummern und Geburtsdaten. Es wurde jedoch weder auf Sozialversicherungsnummern noch auf Finanzkontonummern zugegriffen. Credit Karma benachrichtigte die betroffenen Kunden und bot ihnen kostenlose Kreditüberwachungsdienste an.

Darüber hinaus kündigte Credit Karma im Jahr 2022 einen Phishing-Angriff an, der auf seine Benutzer abzielte. Bei Phishing-Angriffen versenden Kriminelle gefälschte E-Mails oder Textnachrichten, die den Anschein erwecken, von einer legitimen Quelle zu stammen, um Menschen dazu zu bringen, ihre persönlichen Daten preiszugeben. In diesem Fall schienen die Phishing-E-Mails und Textnachrichten von Credit Karma zu stammen und forderten die Benutzer auf, auf einen Link zu klicken, um ihr Passwort zurückzusetzen. Der Link führte die Benutzer jedoch tatsächlich zu einer gefälschten Credit Karma-Website, auf der ihre persönlichen Daten gestohlen wurden. Credit Karma warnte seine Benutzer vor dem Phishing-Angriff und riet ihnen, bei verdächtigen E-Mails oder Textnachrichten vorsichtig zu sein.