A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t.
Én azt nem értem, hogyan jutott el arra a felületre sima user/pass párossal bárki bekapcsolt SMS-es 2FA mellett a számlatulajdonos közreműködése nélkül, amelyiken be lehet kapcsolni a már élőtől eltérő második faktort... Merthogy az MFA bekapcsolás jellemzően nem a login screen-en van user/pass megadása, de a 2FA előtt...
Ezen felül az szerintem általános, hogy ha többféle második faktor van bekapcsolva, akkor az user/pass mellé bármelyiket elfogadja a legtöbb rendszer, nem kell az össes további faktorral egyszerre hitelesíteni magunkat. Ezért van a belépési ablakokban lehetőség a használt második faktor kiválasztására.
Szóval ehhez a hozzászóláshoz is jó lenne a pontosítás, hogyan is történt részletesen leírva a telefonos biometrikus 2FA beállítása, ha már volt SMS-es kód.