Credit Karma no ha sido pirateado en el sentido tradicional. Sin embargo, en 2020, la empresa reveló una violación de datos que afectó a aproximadamente 19 millones de clientes. La infracción fue causada por un proveedor externo que tenía acceso a la API de Credit Karma. El sistema del proveedor fue pirateado y los piratas informáticos pudieron acceder a parte de la información de los clientes de Credit Karma. La información a la que se accedió incluyó nombres, direcciones, números de teléfono y fechas de nacimiento. Sin embargo, no se accedió a ningún número de Seguro Social ni a números de cuentas financieras. Credit Karma notificó a los clientes afectados y les ofreció servicios gratuitos de seguimiento crediticio.
Además, en 2022, Credit Karma anunció un ataque de phishing dirigido a sus usuarios. Los ataques de phishing involucran a delincuentes que envían correos electrónicos o mensajes de texto falsos que parecen provenir de una fuente legítima en un intento de engañar a las personas para que proporcionen su información personal. En este caso, los correos electrónicos y mensajes de texto de phishing parecían ser de Credit Karma y pedían a los usuarios que hicieran clic en un enlace para restablecer su contraseña. Sin embargo, el enlace en realidad llevaba a los usuarios a un sitio web falso de Credit Karma donde se robaba su información personal. Credit Karma advirtió a sus usuarios sobre el ataque de phishing y les aconsejó que tuvieran cuidado con los correos electrónicos o mensajes de texto sospechosos.