Capito.
Allora, andiamo per gradi. Come prima soluzione ti consiglio di applicare il htaccess come descritto poco sopra, in modo che i crawler non le possano indicizzare.
Seconda soluzione, non per forza alternativa ma anzi complementare, usa una tecnica di "offuscamento", cioè le immagini saranno in qualcosa del tipo tuosito.com/immagini/2749233jfeah453rfa/mmagine.jpg
Nel tuo software farai in modo che ogni utente abbia una cartella sua, ricavando tipo un md5 da alcuni suoi dati (fissi), tipo chessò il nome utente + data iscrizione (es: "mario_rossi_01082022") di cui fai un md5 in modo da avere un id univoco e "complesso". In questo modo rendi difficile andare a tentativi.
Tre: nel tuo software dovrai fare in modo di controllare se il tal utente ha o meno i permessi per vedere quella cartella e per farlo dovrai avere qualcosa che verifica la uri richiesta, certifica che sia un utente registrato e che possa vedere la risorsa. Come farlo dipende dal tuo framework di base quindi non posso darti una mano, per ora. Potresti per esempio "fingere" che la risorsa sia in /immagini/reaf78e7av8f/immagine.jpg ma in realtà il tuo software intercetta la Uri, va nel db a vedere se l'utente che ha fatto la richiesta ha i permessi e poi vai a vedere dove risiede realmente l'immagine