Buonasera Baobab, su questo avrei da contraddire.
Un malintenzionato che ha intenzione di accedere alla nostra email/account, su cui è attiva l'autenticazione a 2 fattori tramite SMS per la creazione di una nuova password (vedi Google per esempio), non ha bisogno di conoscere nessun codice di accesso o password, gli basta avere la mail e il "possesso" del numero di cellulare della persona da "colpire".

Un breve esempio:
Vengono resi in chiaro i dati (ICCID, numero di telefono, mail, ecc.) dell'utente X, come pare sia successo, tramite questi si può effettuare un cambio operatore e quindi far perdere il "possesso" del numero di telefono all'utente X.
A questo punto il malintenzionato saprà l'indirizzo mail dello user, e potrà tramite l'autenticazione a due fattori cambiare la password dell'account di posta elettronica.
Facendo una breve ricerca, il malintenzionato potrà conoscere la banca e/o altri dati dell'utente X;  siccome molti istituti di credito nelle comunicazioni inseriscono il codice cliente, potrà facilmente venire a conoscenza anche di questo.
Arrivati a questo punto se il sistema della banca, per il cambio password, prevede solo l'autenticazione a 2 fattori tramite SMS (vedi Paypal, che pur non essendo una banca ha gli accessi alle carte di credito/conti correnti dei propri utenti) il malintenzionato avrà completo accesso alle carte di credito o al c/c dell'utente X.

A questo punto spero davvero di aver sbagliato in qualche passaggio.
Nel caso in cui non fosse così, il danno è davvero molto più grande di quello che poteva sembrare.

Per fare prelievi con carta servono

n. carta

pin

OTP mediante invio di SMS sul telefono

Da non esperto chiedo, cosa è stato rubato per consentire di fare queste operazioni?