Es könnte fast alles sein ... mittlerweile ist es ja üblich, eine spezielle URL als Zugangsberechtigung zu haben. Was ich prinzipiell auch nicht schlecht finde.

Allerdings: Reale IDs sind lang genug, dass unsinnig ist, diese durch Bruce-Force online knacken zu wollen und tiefergehende Kenntnisse scheinen nicht vorhanden zu sein.
Bei seinen 10 Stellen bräuchte er selbst bei 1 ms pro Request ne Weile (um alles durch zu testen, erwartet halb so viel bei einer richtigen Lösung)
Also ist die reale Gefahr relativ gering. Außerdem ist der TE nun mehr als genug gewarnt, dass so etwas auch schnell als Angriff aufgefasst werden kann.


@Pogoner: An die robots.txt solltest du dich halten, wenn du einen gutartigen Crawler programmieren möchtest.