Az a baj, hogy valójában a Github MFA-ja is lófaszt ér. Ugyanis, egy fájl szerkesztése a repositoryban valójában nem privilegizált művelet, commit előtt nem kér MFA megerősítést, de a nap végén ezzel simán el lehet bármilyen kódban helyezni egy backdoort. A GitHub MFA-ja csak az ellen véd, hogy random új alkalmazásjelszavakat kiadjál vagy a feltört paraszt profilját átvésd. Az ő szempontjukból privilegizált műveleteket védik csak.
Namármost, egy Microsoft O365 esetén pl egy adathalász levél kiküldése sem lesz privilegizált művelet. Session hijackinggal ezek mind megtehetők anélkül, hogy az MFA egyáltalán képbe kerülne.