A documentação do ObjectID afirma que os IDs gerados automaticamente incluem um ID de máquina de 3 bytes (presumivelmente um hash do endereço MAC). Não é inconcebível que alguém possa descobrir coisas sobre sua rede interna comparando esses três bytes em vários ids, mas a menos que você esteja trabalhando para o Pentágono, não parece valer a pena se preocupar (você é muito mais vulnerável a algo mais chato como um Apache mal configurado).

Fora isso, Epcylon está certo; não há nada inerentemente inseguro em expor ids por meio de URLs. Se é feio é outra questão, claro. Você pode base64 para torná-los mais curtos (estive pensando nisso eu mesmo), mas há o fato estranho de que eles são quase a metade do mesmo.