Dokumentace ObjectID uvádí, že automaticky generovaná ID zahrnují 3bajtové ID stroje (pravděpodobně hash MAC adresy). Není nepředstavitelné, že by někdo mohl zjistit věci o vaší interní síti porovnáním těchto tří bajtů s různými ID, ale pokud nepracujete pro Pentagon, zdá se, že nestojí za to se tím znepokojovat (je mnohem pravděpodobnější, že budete zranitelnější vůči něco nudnějšího jako špatně nakonfigurovaný Apache).
Kromě toho má Epcylon pravdu; na odhalení ID prostřednictvím adres URL není nic ze své podstaty nejistého. Ať už je ošklivý je samozřejmě jiná věc. Můžete je zkrátit (sám jsem o tom přemýšlel), ale pak je tu zvláštní fakt, že jsou všechny zhruba z poloviny stejné.