O Tor não faz nenhuma tentativa de verificar as informações de autenticação que um cliente SOCKS fornece a ele. Ele pode ser usado totalmente não autenticado e não possui configuração para forçar a autenticação. Por isso, é altamente recomendável que não exponha a porta SOCKS a qualquer endereço IP que você não queira conectar diretamente a ela.
Da página do manual:
NOTE: Although this option allows you to specify an IP address
other than localhost, you should do so only with extreme caution.
The SOCKS protocol is unencrypted and (as we use it)
unauthenticated, so exposing it in this way could leak your
information to anybody watching your network, and allow anybody to
use your computer as an open proxy.
O que o Tor faz com as informações de autenticação é o isolamento de fluxo. O Tor pode ser configurado para usar circuitos completamente diferentes para clientes que "autenticam" com diferentes credenciais.
IsolateSOCKSAuth
Don’t share circuits with streams for which different SOCKS
authentication was provided. (On by default; you can disable it
with NoIsolateSOCKSAuth.)