Если без 2ФА зашли - значит был угон сессии.
А разве сессия не проверяется по ip? Как бы по нормальному сессия во время запросов всегда проверяется откуда пришел запрос и если вдруг ip сменился с той же сессией то она рвется и акк разлогиневается.
Проверяется не только айпишник, но и юзер-агент браузера, языки в браузере, а так же тайм-зона компьютера(данные получаются через js скрипт). Малейшее не соответствие и сессия обрубается.
Угон сессии рулил десяток лет назад, сейчас проверяется масса параметров, включая то что я перечислил + разрешение экрана + наличие флешплейера и какой версии + гугловские обвесы (я не робот), которые сразу сработают если пошло что-то не так, а там свои сессии, завязанные на свои ресурсы.