Není to zas tak složité. Především obvykle nejde o prolomení u Googlu ­(nebo služby, která 2FA používá­), tam bývá obvykle vše v pořádku, ale o podvod na operátora. Google může mít 2FA implementováno skvěle, ale vždy to závisí na nejslabším článku řetězu, kterým v takovém případě často bývá některý ze zaměstnanců operátora ­(nebo nedostatky v jejich systému­), který např. vydá náhradní SIM na adresu hackera. Prolomit heslo k účtu u operátora bývá vzhledem k dennodenním únikům hesel pro šikovného hackera vcelku jednoduché, takže pak hackerům jen stačí přesvědčit operátora, že oni jsou tím, kdo má dané telefonní číslo a nechat si poslat náhradní SIM. Pak může mít Google 2FA neprolomitelné, ale je to k ničemu, když ověřovací SMS přijde do telefonu hackera a ne správného uživatele. Není to pochopitelně jediný způsob, ale jeden z těch často používaných.

Velká část hacků není o tom, že byste primárně napadal tu službu, kterou chcete napadnout, ale o tom, že napadáte jiné slabší služby, abyste získal data k tomu, že se pak do cílové napadané služby ­"jednoduše přihlásíte­". Netvrdím, že to tak bylo i v tomto případě, ale nezřídka tomu tak je.