Uma estratégia pra nós, devs, é implementar solicitação de senha ou confirmação 2 fatores, sempre que houver atualização de dados sensíveis, ex: trocar email, dados pessoais, etc. Tentar minimizar o máximo de ações possíveis do atacante, nesse tipo de incidente.

2FA não impede o criminoso de acessar a conta do usuário caso ele tenha o ID da sessão, só impede métodos tradicionais como login usando nome de usuário/e-mail e senha ou alterações na conta que exigem o 2FA (igual você informou).

Um exemplo real disso é que vários canais de Youtubers, contas de Instagram e afins já foram hackeados dessa forma, mesmo tendo 2FA.

Sim, 2FA é bom, mas infelizmente não impede o criminoso de boicotar o canal do usuário, como por exemplo: privar conteúdos, excluir conteúdos, fazer transmissão fraudulenta, fazer golpe usando o perfil da vítima e dentre outras ações.

Exatamente, não impede. Tanto é que meu ponto visa tentar minimizar algumas ações maliciosas, pois proteger 100% nenhuma plataforma garante. Excluir vídeos do YouTube, por exemplo, não é uma tarefa comum que um usuário faria. Se há várias exclusões, os algoritmos do YouTube deveriam minimamente confirmar de alguma forma, se aquela pessoa está de fato querendo fazer aquilo, criando mais camadas adicionais de segurança, pedindo senha, etc. para minimizar riscos. As plataformas precisam investir mais em segurança, nesses pontos.
Compreendo, deveria fazer igual algumas plataformas. Por exemplo, no Discord, caso tenha 2FA ativado, sempre que vai adicionar um bot ao servidor que tem 2FA, ele pede o 2FA. Quando vai excluir o servidor, o Discord pede o 2FA, ao meu ver também acho que as plataformas deveriam implementar mais camadas de segurança.
É um bom caminho mesmo. Excelente post!
Sempre, em meu tempo livre, faço posts no TabNews sobre educação em cibersegurança, prevenção de golpes, dicas de segurança e afins. Agradeço a todos que estão engajando em meus posts, já que é um conteúdo que quase ninguém dá tanta importância. Só buscam conhecimento quando o B.O. já aconteceu com eles. A maioria age depois do incidente ter ocorrido, sempre com uma atitude "reativa", não "proativa".