A galera do Loop falou bastante sobre. Mas não deu pra idenitificar como o segundo fator de autenticação foi burlado.
Se o segundo fator fosse por link, poderia ser aquela explosão de mensagens de autenticação, na qual uma delas, sem querer, recebe o clique da pessoa.
Mas acredito que o Google nem oferece essa opção. O que sei que eles têm é e-mail e telefone.
Enfim, permanece um mistério!