La documentación de ObjectID establece que los ID generados automáticamente incluyen un ID de máquina de 3 bytes (presumiblemente un hash de la dirección MAC). No es inconcebible que alguien pueda descubrir cosas sobre su red interna comparando esos tres bytes en varias identificaciones, pero a menos que esté trabajando para el Pentágono, no parece que valga la pena preocuparse (es mucho más probable que sea vulnerable a algo más aburrido como un Apache mal configurado).
Aparte de eso, Epcylon tiene razón; no hay nada intrínsecamente inseguro en exponer identificaciones a través de URL. Si es feo es otra cosa, por supuesto. Puedes basarlos para hacerlos más cortos (he estado pensando en esto yo mismo), pero luego está el hecho extraño de que todos son casi la mitad de iguales.
