Login kısmına ekstra güvenlik getirilirse bu hesapları düşüremezler.

openbullet, silverbullet programına göre config yazıp sql açığı olan sitelerden mail pass çekip, çekilen mail passları openbullet ya da silverbullet programı ile login yaptırıp düşenleri satışını yapıyorlar ya da düşen hesapların davetiye kodlarını çekiyorlar. Login kısmında google recaptcha olması yeterli değil. @Burti; @ALBAYRAKTECH;

Çalınmaya karşı belirli sürelerde tokenler eskirse(expire) bu yapılan işlem en verimli ve güvenli şekilde uygulanmış olur
Key yedekli 2FA doğrulayıcılarını da tavsiye ediyorum(Aegis Authy Laspass Microsoft Authenticator vb.)