Se si tratta di un UUID ben generato (ad esempio, non solo un numero sequenziale inceppato in qualcosa che sembra UUID-y), e il sito non contiene dati particolarmente sensibili (ad esempio informazioni sui pagamenti con carta di credito, indirizzi personali, ecc.) probabilmente non è male.
Il difetto principale è quello che hai menzionato: se non è segreto, chiunque ha accesso. Ciò implica che HTTPS deve essere utilizzato, con le intestazioni di controllo della cache impostate per impedire alle cache intermedie di memorizzare l'URL. Ci dovrebbe essere un metodo per disattivare un dato collegamento, dopo aver verificato un metodo diverso (ad esempio, inviare loro un link di disattivazione), in caso di perdita rilevata.
Ci si aspetta inoltre che il sito implementa ragionevoli precauzioni contro la modifica di altri dettagli, come richiedere una password prima di poter modificare l'indirizzo email registrato o richiedere un cookie.
Non vorremmo usarlo per qualcosa di sensibile, e certamente non per qualsiasi cosa che riguardi pagamenti, informazioni personali o relative alla salute, ma per un gioco online, o chatroom, o simili (non ho visitato il link!) è non terribile.