Il problema di Huddle era solo un "bug" nell'implementazione della vera autenticazione a due fattori?

Ho appena letto l'articolo della BBC News lo strumento di lavoro "altamente sicuro" di Huddle esposto file KPMG e BBC . Secondo l'articolo:

How did this happen?

During the Huddle sign-in process, the customer's device requests an authorisation code.

According to Huddle, if two people arrived on the same login server within 20 milliseconds of one another, they would both be issued the same authorisation code.

This authorisation code is carried over to the next step, in which a security token is issued, letting the customer access their Huddle. Since both User A and User B present the same authorisation code, whoever is fastest to request the security token is logged in as User A.

Domanda: questa parte del codice di autorizzazione è un'autorizzazione a due fattori (un esempio potrebbe essere un codice inviato via SMS a un telefono cellulare)? In tal caso, si trattava solo di una pessima soluzione, o in realtà non era realmente un vero fattore a due fattori, considerando che a chi viene prima assegnato il codice (senza regressione di altri fattori di identità) viene concesso l'accesso?