Si, claro que si puede acceder a ver tus fotos y no importa si te tomas la molestia de ponerles nombres aleatorios, un usuario podria ver facilmente los nombres. Ni siquiera es necesario que sea un hacker, cualquier usuario lo podria hacer solo colocando la url.
Para evitar eso es bueno tener una protección de acceso a carpetas con apache.
http://www.maestrosdelweb.com/editorial/directapache/
Igual como sugerencia podrias tener una carpeta de fotos y dentro de esa carpeta de fotos tener carpetas individuales para cada usuario.