Em outras palavras, existe uma maneira de verificar se o usuário (quando ele define, digamos, usuários // email), é realmente o ID do email do usuário que está logado?

Estamos construindo um aplicativo firebase, em que certos aspectos do serviço são entregues por meio de notificações por email. Não queremos enviar e-mails para o usuário errado. Parece não haver maneira de garantir que as informações de e-mail gravadas no caminho do usuário // sejam realmente as mesmas que o e-mail usado para fazer login (diretamente ou via google ou facebook etc.)

Na minha opinião, se auth (rules) tivesse, além de auth.uid, um campo auth.email, resolveria o problema e regras poderiam ser escritas para lidar com o caso de uso.