2FA não impede o criminoso de acessar a conta do usuário caso ele tenha o ID da sessão, só impede métodos tradicionais como login usando nome de usuário/e-mail e senha ou alterações na conta que exigem o 2FA (igual você informou).
Um exemplo real disso é que vários canais de Youtubers, contas de Instagram e afins já foram hackeados dessa forma, mesmo tendo 2FA.
Sim, 2FA é bom, mas infelizmente não impede o criminoso de boicotar o canal do usuário, como por exemplo: privar conteúdos, excluir conteúdos, fazer transmissão fraudulenta, fazer golpe usando o perfil da vítima e dentre outras ações.