Uma estratégia pra nós, devs, é implementar solicitação de senha ou confirmação 2 fatores, sempre que houver atualização de dados sensíveis, ex: trocar email, dados pessoais, etc. Tentar minimizar o máximo de ações possíveis do atacante, nesse tipo de incidente.
2FA não impede o criminoso de acessar a conta do usuário caso ele tenha o ID da sessão, só impede métodos tradicionais como login usando nome de usuário/e-mail e senha ou alterações na conta que exigem o 2FA (igual você informou).
Um exemplo real disso é que vários canais de Youtubers, contas de Instagram e afins já foram hackeados dessa forma, mesmo tendo 2FA.
Sim, 2FA é bom, mas infelizmente não impede o criminoso de boicotar o canal do usuário, como por exemplo: privar conteúdos, excluir conteúdos, fazer transmissão fraudulenta, fazer golpe usando o perfil da vítima e dentre outras ações.