Basta che nell'account gmail non sia impostato il 2FA corretto e almeno uno dei contatti abbia la sua gmail violata. Nel suo caso, aveva caricato le keys a gmail. Ma negli casi di hacking, sono quasi sicura che l'hacker di turno abbia craccato gli account via ecency (o via blog hive, qualora simile, senza estensione per confermare le operazioni).