Şöyle ki zaten bir cihaz rat yemiş ise 2fa da olsa 10fa da olsa o hesap her türlü çalınır. Genelde hesabı çalınanların hesapları da bu şekilde çalınıyor. 2fa açık olduğunda bruteforce işe yaramaz ama 2fa kapalı iken bruteforce ile hesap düşürülebilir. Bu konuda mantıklı olan, bruteforcu önlemek için insanların hesaplarında mail girmelerini engellemektir. Genelde hesap çekenlerin 2faya dikkat ettiğini düşünmüyorum.

Ancak şu yol kullanılmayan hesapların virüs ile çalınabilmesini engeller: Cookie sistemi tarafında giriş cookieleri 12 saatte bir resetlenebilir. Yani 12 saatte bir cookie geçersize düşer ise, eskiden hesabı bulunan bir r10 hesabının cookiesi çalınarak girilmesi önlenir. 2FA da açık olur ise asla çalınamaz.