Быть может, XSS. Это когда тебе код в чат кидают и он автоматом запускается у тебя на компе. Быть может, заюзали баги с предпросмотром страницы и iframe для кражи кукесов, или тупо переполнили буфер в браузере, что маловероятно. Так же могли взломать почту, или же (самый примитивный и очевидный, а потому не обсуждаемый и никому не известный метод) ПЕРЕХВАТИТЬ SMS с подтверждающим кодом, заплатив сотруднику офиса связи. Если что, двухфакторная аутентификация защищает не вашу страничку в сети, а вашу шкуру, детей и (мировое правительство от повстанцев), маньяков и террористов, которым в сети стало труднее жить после введения обязаловки на засвет мобильных номеров и паспортов