Ganz ehrlich kann dir nicht 100% sagen wie er sich einloggen konnte . Aber wahrscheinlich hatte er temporär zugriff und hat dann sogenannte Dienstkonten für API zugegriffen eingerichtet. Die ohne 2FA nutzbar sind. Das Ding ist du musst dich ja auch nicht bei Google ADS registrieren weil ja alles über deren SSO läuft und du somit meinem Google Account automatisch auch Google ADS hast oder Google Cloud. Du kannst sogar dein Playstore billing Account verwenden dafür. Sprich einfach mit Google die werden ab meisten nach vollziehen können ob es ein Web oder API Zugriff über Dienstkonten war.
Das war auch meine erste Vermutung bei genauerem Nachdenken aber "hinfällig", das Ding ist, ich habe auch wenn die 2FA wegfällt, immer noch meine SMS als zweite Validierung die müsste ja dann spätestens greifen. Habe auch mittlerweile nachgelesen, dass die Methode erst seit Dezember sehr beliebt ist weil Google seit Dezember wohl mir 400€ Startguthaben wedelt.
Was ich ebenfalls nicht verstehen kann ist, wie ich keinerlei Benachrichtigung über eventuelle Loginversuche erhalten habe. Ich denke mittlerweile Felsenfest, dass es sich um eine weitere Sicherheitslücke bei Google handelt, ist ja keine Seltenheit.
Aber ja, zur endgültigen Klärung muss ich ja ohnehin die Nachricht abwarten, der gestrige Prozess alle Kennwörter zu ändern hat immerhin schon 3 Stunden in Anspruch genommen.
Login ist wie gesagt meiner Meinung nach das unwahrscheinlichste verwende ein 24 stelliges Passwort mit Sonderzeichen & Ziffern.