2FA тоже взламывается, нужно всего лишь получить доступ к вашей почте.
Каким образом она взламывается (речь ведь шла о 2FA через Google Authenticator)? Криптопаяльником
А если серъезно, то токены сессии могут воровать приложения на телефоне. Я сам не знал что они умеют вытворять на Андроиде пока не почитал один интересный канал в ТГ. Сейчас просто стараюсь с телефоном быть поосторожнее. И даже не заходить с него на более менее важные сайты (пока не появится время и не займусь серъезно его "модернизацией". Для начала разблокирую загрузчик
)