In de ObjectID-documentatie staat dat de automatisch gegenereerde ID's een machine-ID van 3 bytes bevatten (vermoedelijk een hash van het MAC-adres). Het is niet ondenkbaar dat iemand dingen over je interne netwerk kan achterhalen door die drie bytes in verschillende id's te vergelijken, maar tenzij je voor het Pentagon werkt, lijkt dat niet de moeite waard om je zorgen over te maken (je bent veel waarschijnlijker kwetsbaar voor iets saaiers zoals een verkeerd geconfigureerde Apache).
Verder heeft Epcylon gelijk; er is niets inherent onveilig aan het vrijgeven van id's via URL's. Of het nu lelijk is is natuurlijk een andere zaak. Je kunt ze base64 maken om ze korter te maken (heb hier zelf over nagedacht), maar dan is er het rare feit dat ze allemaal ongeveer de helft hetzelfde zijn.