http://mixi.jp/help.pl#3g あたり。mixi 内の画像ファイルは URL の直リンクでログインしていなくても閲覧可能であることが明記されていた。
とりあえず、プロフィールの写真をはじめ、「友人まで公開」な日記や「管理人の承認が必要(非公開)」なコミュニティであっても、第三者に見られて困るような写真は掲載しないようにしましょう。写真のURLに直接アクセスすることで、mixi にログインしていない状態であってもまる見えになります。
2005年5月9日に IPA に脆弱性として届け出、受理。2006年4月6日に対応が難しいのでユーザー向け啓蒙コンテンツの中で写真掲載時の注意を訴えて行くとの返答、取扱い終了。6ヶ月経過してようやくですか…。(あとでもうちょっと詳しく書くかも)