ObjectID-dokumentationen angiver, at de automatisk genererede ID'er inkluderer et 3-byte maskin-ID (formodentlig en hash af MAC-adressen). Det er ikke utænkeligt, at nogen kan finde ud af ting om dit interne netværk ved at sammenligne de tre bytes i forskellige id'er, men medmindre du arbejder for Pentagon, virker det ikke værd at bekymre sig om (du er meget mere tilbøjelig til at være sårbar overfor noget mere kedeligt som en forkert konfigureret Apache).
Bortset fra det, har Epcylon ret; der er intet i sig selv usikkert ved at eksponere id'er gennem URL'er. Om det er grimt er en anden sag, selvfølgelig. Du kan base64 dem for at gøre dem kortere (har selv tænkt over dette), men så er der det mærkelige faktum, at de alle er omtrent halvt ens.