Según documentación de Mongo , se utiliza lo siguiente para construir un ObjectId:
ObjectId is a 12-byte BSON type, constructed using:
a 4-byte value representing the seconds since the Unix epoch,
a 3-byte machine identifier,
a 2-byte process id, and
a 3-byte counter, starting with a random value.
Entonces, para responder a tu pregunta,
¿Hay algo más que un atacante pueda obtener del conocimiento de la
ObjectID?
Yo diría que parece que además de la marca de tiempo también podrían determinar el identificador de la máquina, la identificación del proceso y su valor de contador.
Asegúrate de protegerte contra ataques de referencia directa a objetos (que deberías haciendo de todos modos).