Документацията на ObjectID посочва, че автоматично генерираните идентификатори включват 3-байтов идентификатор на машината (вероятно хеш на MAC адреса). Не е немислимо, че някой би могъл да разбере нещата за вашата вътрешна мрежа, като сравнява тези три байта в различни идентификатори, но освен ако не работите за Пентагона, това изглежда не си струва да се притеснявате (много по-вероятно е да сте уязвими към нещо по-скучно като неправилно конфигуриран Apache).
Освен това, Епсилон е прав; няма нищо по своята същност несигурно в излагането на идентификатори чрез URL адреси. Независимо дали е грозно е друг въпрос, разбира се. Можете да ги базирате на база 64, за да ги направите по-къси (аз си мислех за това), но има странния факт, че всички са наполовина еднакви.