2FA wird in der Regel über Social Engineering geknackt. In der Regel ruft hier einer mit ner gespooften Nummer (eurer Nummer) als angeblicher Konto-Besitzer beim Support an und lässt über den Support das Konto freischalten.
Ein anderer Ansatz ist der Hack der Mailbox. Es ist möglich die Mailbox auch ohne entsprechende SIM-Karte abzuhören. Bietet die 2FA also einen Anruf an, bei dem der Code mitgeteilt wird, werdet ihr mitten in der Nacht angerufen->die Mailbox geht dran->Code wird auf die Mailbox gequatscht->Angreifer hört Mailbox ab.
Um das einzuschränken ändert die Geheimzahl eurer Mailbox. Das dauert in der Regel keine Minute.
EDIT:
Ein Besuch bei https://haveibeenpwned.com/ hat auch noch nie geschadet.