Die ObjectID-Dokumentation besagt, dass die automatisch generierten IDs eine 3-Byte-Maschinen-ID enthalten (vermutlich ein Hash der MAC-Adresse). Es ist nicht unvorstellbar, dass jemand Dinge über Ihr internes Netzwerk herausfinden könnte, indem er diese drei Bytes in verschiedenen IDs vergleicht, aber wenn Sie nicht für das Pentagon arbeiten, scheint das keinen Grund zur Sorge zu geben (Sie sind viel wahrscheinlicher anfällig für etwas Langweiligeres wie ein falsch konfigurierter Apache).
Abgesehen davon hat Epcylon recht; Es ist nichts von Natur aus unsicher, IDs über URLs offenzulegen. Ob es hässlich ist ist natürlich eine andere sache. Sie können sie base64 machen, um sie kürzer zu machen (ich habe selbst darüber nachgedacht), aber dann gibt es die seltsame Tatsache, dass sie alle ungefähr halb gleich sind.