No entanto, acredito que há uma brecha muito grande por parte do Google em não checar atividades suspeitas quando o dispositivo ou localização muda radicalmente.

Isto que fico me perguntando, se uma sessão é roubada, como identificar isso? Pois o que o atacante pode estar fazendo é conectar numa VPN que disponibilize um IP próximo do computador que acabou de ser comprometido.