Uma possibilidade é terem utilizado seu SIM Card (sem PIN configurado) em outro aparelho, e terem resetado suas senhas através de recuperação pelo telefone de confiança, mas recebido no outro aparelho. Dessa forma, conseguem rapidamente acessar Facebook, todas suas contas que utilizam o SSO do Facebook, além de iCloud e outras.
Além de ser extremamente importante colocar um PIN no SIM Card, também é importante não colocar nenhum telefone como 2FA, mas sim e-mail ou outros meios.