Em sua essência, 2FA deve proteger uma conta de acesso não autorizado durante ações críticas com ela. Mas por algum motivo não é usado ao copiar a pasta com telegramas do dispositivo do usuário para um novo dispositivo.
Provavelmente, a maioria dos usuários não está ciente de que a pasta do telegrama pode simplesmente ser copiada de um computador e executada em outro. Nesse caso, 2FA não será solicitado, mesmo que esteja instalado. Ao mesmo tempo, o telegrama não pedirá absolutamente nada, apenas será iniciado silenciosamente. Pior ainda, mesmo uma nova sessão não aparecerá na lista. O Telegram funcionará totalmente em 2 dispositivos em uma sessão.
Esta é essencialmente a forma mais elementar de interceptar mensagens de outras pessoas no Telegram. É assustador porque um invasor nem precisa ser um programador para isso. Basta acessar o computador uma vez e copiar a pasta. E na ausência do dono do computador, basta conectar o disco rígido do usuário a qualquer computador desbloqueado e copiar a pasta de lá.
Para evitar isso, você só precisa pedir uma senha 2FA, pelo menos ao alterar o dispositivo ou sistema operacional do usuário. Por que isso ainda não foi implementado?